Documente Academic
Documente Profesional
Documente Cultură
[1.2] Windows 7
[1.3] Windows 8
[1.4] Windows 10
T E M A
Sistem as Windows
Esq u em a
W in d o w s 7 W in d o w s 8 W in d o w s S e rve r
TEMA 1 – Es qu e m a
Sistem a operativo creado por Siguiente sistem a operativo estable Introducción:
Microsoft de carácter com ercial de Windows • Características principales
• Com parativa Windows Server
20 0 8 y Windows Server 20 12
Mejoras de seguridad respecto a
Mecanism os de protección: Windows 7: Windows 20 0 8
• UAC • Microsoft Defender
2
• Reproducción autom ática • Protección de arranque Windows 20 12:
• WBF • IE10 • Instalación
• BitLocker • Sm artScreen • Active Directory
• AppLocker • Protección infantil • Controlador de dom inio
• Firew all de Windows • Políticas de seguridad
• Generación de claves a través
• DirectAccess • Firew all de Windows Server
de im ágenes • Copias de seguridad
• VeraCrypt • Mecanism o de prevención de • Auditoría de Windows Server
• PowerShell ejecución de código
• Latch
Se guridad e n Sis te m as Ope rativo s
Se guridad e n Sis te m as Ope rativo s
I d ea s cla ve
Para estudiar este tem a lee las Ideas clave. Adem ás deberás estudiar las siguientes
páginas disponibles en el aula virtual, bajo licencia CEDRO:
J im eno, M.T., Caballero, M.A. y Míguez, C. (20 0 8). La Biblia del Hacker (pp. 461-469).
Madrid: Anaya.
En este tem a vam os a analizar la seguridad de los sistem as operativos Windows, tanto
los sistem as personales com o Windows 7 y Windows 8 , com o los sistem as servidor
Windows Server 20 0 8 y Windows Server 20 12.
Microsoft Defender
Sm artScreen
Interfaz METRO con Sandbox…
Tam bién se verán las novedades del sistem a Windows 10 presentado en 20 15 frente a
este anterior.
TEMA 1 – Id e as clave 3
Se guridad e n Sis te m as Ope rativo s
En el capítulo siguiente com enzarem os a ver Windows Server, con una pequeña
introducción de conceptos y con unas pequeñas tablas que nos com pararán los dos
sistem as servidor m ás actuales (Windows Server 20 0 8 y Windows Server 20 12), tanto
sus características com o sus m ejoras de seguridad.
A continuación, verem os uno a uno am bos sistem as. En prim er lugar, Windows Server
20 0 8, con una pequeña introducción a sus características destacadas de seguridad. En
segundo térm ino, Windows Server 20 12, con una guía de instalación paso a paso, una
descripción de sus principales utilidades, así com o una explicación y recom endaciones
para configurar todas estas utilidades. Algunas de ellas son:
Active Directory
Directivas de seguridad local
Creación de usuarios y políticas de seguridad…
Copias de seguridad
1.2. Windows 7
TEMA 1 – Id e as clave 4
Se guridad e n Sis te m as Ope rativo s
Siem pre conviene tener dos usuarios, uno que sea el Adm inistrador (con todos los
perm isos) y otro que sea un usuario llano con los perm isos m ínim os.
Podem os acceder a dicha función accediendo a Panel del control > Cuentas de Usuario
> Cam biar la configuración de Control de cuentas de usuario. Nos aparecerá esta
ventana:
En esta figura podem os com probar que en el UAC existen cuatro niveles, en los que
tenem os: el prim er nivel, con el que se evitan las notificaciones, esta es la configuración
m enos deseada. En un nivel superior nos notifica cuando alguna acción intenta cam biar
algo en el equipo. En el tercer nivel tenem os el nivel «predeterm inado» que es el que nos
notifica cuando algún program a intenta realizar cam bios en el equipo. Y por últim o
tenem os el nivel m ás seguro ya que nos notifica siem pre.
Para abrir «reproducción autom ática» tenem os que ir a Inicio > Panel de control >
Hardw are y Sonido > Reproducción autom ática siguiendo las ilustraciones siguientes:
TEMA 1 – Id e as clave 5
Se guridad e n Sis te m as Ope rativo s
1. Panel de Control:
TEMA 1 – Id e as clave 6
Se guridad e n Sis te m as Ope rativo s
TEMA 1 – Id e as clave 7
Se guridad e n Sis te m as Ope rativo s
TEMA 1 – Id e as clave 8
Se guridad e n Sis te m as Ope rativo s
BitLo cke r: si hablam os de cifrado de datos, esta herram ienta nos perm ite cifrar los
datos de cualquier disco duro evitando accesos indeseados. Adem ás, cuando vam os a
guardar algún archivo en una unidad en la que tenem os el BitLocker activo, dicho archivo
es cifrado autom áticam ente.
Según el ám bito de aplicación de BitLocker tenem os dos tipos, en función del tipo de
unidad a cifrar:
BitLo cke r to go : es una variante del BitLocker para unidades extraíbles. Es im portante
el cifrado de estas unidades ya que debido a su reducido tam año pueden ser extraídas
fácilm ente.
TEMA 1 – Id e as clave 9
Se guridad e n Sis te m as Ope rativo s
U tilizació n :
TEMA 1 – Id e as clave 10
Se guridad e n Sis te m as Ope rativo s
Dicha herram ienta es flexible y sim ple para que los adm inistradores del equipo
especifiquen exactam ente qué se puede ejecutar en el entorno de escritorio. Con esta
herram ienta podem os:
Prevenir que el softw are sin ningún tipo de licencia pueda ser ejecutado si no está en
una lista blanca de softw are perm itido.
Prevenir y tener la posibilidad de denegar la ejecución de aplicaciones que no están
en la lista de perm itidas y que adem ás puedan contener m alw are.
Denegar que los usuarios de dicho entorno ejecuten aplicaciones que consum an un
gran ancho de banda innecesario o que afecten a dicho entorno de escritorio y que
aum enten el costo de soporte y m antenim iento.
Perm itir la ejecución de aplicaciones y actualizaciones perm itidas por parte de dichos
usuarios y que solo los adm inistradores puedan instalar y ejecutar dichos program as
o actualizaciones.
TEMA 1 – Id e as clave 11
Se guridad e n Sis te m as Ope rativo s
Para acceder a esta herram ienta tenem os que seguir los pasos siguientes:
TEMA 1 – Id e as clave 12
Se guridad e n Sis te m as Ope rativo s
3. Pulsam os sobre cualquier opción del AppLocker y nos dirigim os a Acción > Crear
nueva regla, según la im agen:
4. En la ventana siguiente podem os ver las diferentes opciones que nos ofrece dicha
herram ienta:
TEMA 1 – Id e as clave 13
Se guridad e n Sis te m as Ope rativo s
5. Podem os elegir en la pestaña de Perm isos a qué usuario o grupo de ellos querem os que
afecte la regla que vam os a añadir:
TEMA 1 – Id e as clave 14
Se guridad e n Sis te m as Ope rativo s
o Ed ito r: perm ite o deniega la ejecución según la firm a de los program as.
o H a s h d e a rch ivo : se utiliza norm alm ente para las aplicaciones que no van
firm adas. Al seleccionar dicha opción, el equipo genera una clave hash según el
TEMA 1 – Id e as clave 15
Se guridad e n Sis te m as Ope rativo s
TEMA 1 – Id e as clave 16
Se guridad e n Sis te m as Ope rativo s
3. Pe rfil p ú blico : este perfil se recom ienda usar en am bientes poco seguros com o
pueden ser las redes públicas (cafeterías, hoteles…). Dado que se utiliza en dichos
ám bitos, las reglas que se usan suelen ser m uy restrictivas.
In te rfaz Avan za d a: esta nos perm ite editar las opciones que nos brinda el Firewall
de Windows, en ella podem os m odificar y aplicar restricciones por usuario, por grupo,
por interfaz de red.
Las reglas que en ella están establecidas se encargan de perm itir o denegar la
com unicación entrante o saliente generadas por el softw are que hay instalado en el
ordenador, a diferencia de las reglas de seguridad que se aplican entre equipos.
TEMA 1 – Id e as clave 17
Se guridad e n Sis te m as Ope rativo s
TEMA 1 – Id e as clave 18
Se guridad e n Sis te m as Ope rativo s
D ire ctAcce s s : esta tecnología perm ite crear conexiones rem otas utilizando VPN entre
los equipos que estén conectados en una m ism a red. Dichas conexiones sirven para
utilizar aplicaciones o acceder a los datos de un entorno corporativo de form a
transparente y segura. Tam bién podem os acceder a entornos que no estén conectados a
la m ism a red, en lo que se introducen m ejoras en la seguridad al perm itir la gestión de
dichos equipos con el fin de m antenerlos actualizados y obligando a seguir la política de
seguridad de la red corporativa.
Ve raCryp t: es otra herram ienta de cifrado com o BitLo cke r. Perm ite cifrar un
volum en o n -t h e -fly , que consiste en que los datos se cifran autom áticam ente justo
antes de que se guarden y son descifrados justo después de que sean cargados, sin
ninguna intervención del usuario. VeraCrypt aum enta la seguridad y corrige los fallos
encontrados en su predecesor, TrueCrypt. Este últim o no es recom endable, ya que han
dejado de dar soporte y corrección a fallos desde principios de 20 14.
TEMA 1 – Id e as clave 19
Se guridad e n Sis te m as Ope rativo s
Po w e rSh e ll: es una consola de com andos que viene por defecto en Windows, a partir
de Windows Vista. Esta consola está diseñada para la adm inistración avanzada del
sistem a, pues es m ucho m ás potente que la consola por defecto (cm d). Nos perm ite
interactuar tanto con el sistem a operativo, com o con program as de Microsoft com o IIS,
SQL Server o Exchange, y adem ás perm ite la e je cu ció n d e s cr ip t s para autom atizar
tareas. El lenguaje que utiliza es sim ilar a Perl.
Mediante los scripts, esta herram ienta no solo se puede utilizar para la adm inistración
del sistem a, si no que se puede utilizar para com prom eterlo.
TEMA 1 – Id e as clave 20
Se guridad e n Sis te m as Ope rativo s
Estos scripts obviam ente se pueden ejecutar escribiendo las funciones y variables
directam ente en la term inal, pero para scripts autom atizados, hay ciertas restricciones
para evitar su ejecución de form a local o rem ota por parte de otras aplicaciones o
procesos, que son las políticas de ejecución:
Para conocer qué política de ejecución esta im plem entada en nuestra m áquina
usarem os:
Get-ExecutionPolicy
Para cam biar la política de ejecución, solo si tenem os perm isos, si no, será necesario
m odificar los privilegios de los registros, usarem os:
Set-ExecutionPolicy “nombre_de_la_política”
Figura 25: Con sulta e intento de m odificar la política de ejecución (no hay perm isos sobre el registro)
Pese a estas protecciones, hay m últiples form as para saltarse estas políticas y ejecutar
scripts en una PowerShell, el by pass m ás sencillo por ejem plo será copiar y pegar el
TEMA 1 – Id e as clave 21
Se guridad e n Sis te m as Ope rativo s
código del script en la term inal. Por ello, si el atacante tiene acceso directo a la m áquina
no se puede hacer m ucho para evitar un ataque. Es aconsejable el uso de contraseñas de
inicio de sesión, bloqueo de aplicaciones con un segundo factor de autenticación…
1.3. Windows 8
Windows 8 .1 ofrece una serie de m ejoras frente a su versión anterior. Con respecto a la
seguridad se destacan:
Micro s o ft D e fe n d e r
Es un softw are antispy w are que está incluido en esta versión de Windows y que se
ejecuta autom áticam ente. Al usar este tipo de softw are puedes proteger a tu equipo
contra el spy w are y al softw are potencialm ente indeseado. El spy w are puede ser
instalado en el ordenador que estam os usando sin nuestro conocim iento en cualquier
m om ento en el que nos conectam os a internet, o puede infectar nuestro equipo al instalar
algunos program as utilizando un CD, DVD u otro m edio extraíble. El spy w are tam bién
puede ser program ado para funcionar en m om entos inesperados, y no solo cuando está
instalado en nuestro ordenador.
Windows Defender ofrece dos m aneras de evitar que el spy w are infecte el equipo:
Pro te cció n e n tie m p o re al. Windows Defender le alerta cuando el spy w are
intenta instalarse o ejecutarse en el equipo. Tam bién le avisa cuando los program as
intentan cam biar configuraciones im portantes de Windows.
Es can e a d o d e o pcio n e s . Puede usar Windows Defender para buscar spy w are que
podría ser instalado en su ordenador, para program ar los análisis de form a regular, y
para elim inar autom áticam ente cualquier cosa que se detecte durante un exam en.
TEMA 1 – Id e as clave 22
Se guridad e n Sis te m as Ope rativo s
Para acceder y configurar el Microsoft Defender tenem os que seguir los pasos siguientes:
TEMA 1 – Id e as clave 23
Se guridad e n Sis te m as Ope rativo s
Una vez accedido a la ventana principal de Microsoft Defender podem os navegar por las
pestañas para configurarlo a nuestro gusto.
Otra de las funcionalidades añadidas en esta nueva versión es el denom inado arranque
seguro. Podem os definir este arranque seguro com o un estándar de seguridad
desarrollado por los m iem bros del sector de equipos de la com putación, el cual está
destinado a garantizar que los equipos arranquen usando solam ente el softw are que sea
de confianza para el fabricante del equipo. Cuando arrancam os el equipo, el firm w are
com prueba la firm a de cada fragm ento de softw are de arranque, entre los que destacan
los controladores de firm w are y el sistem a operativo. En el caso de que las firm as sean
de confianza el equipo arranca y el firm w are transfiere el control al sistem a operativo.
TEMA 1 – Id e as clave 24
Se guridad e n Sis te m as Ope rativo s
1. Una vez encendido el equipo, cada una de las bases de datos de firm as se com prueba
con la PK.
2. Si no se confía en el software, el firm w are UEFI debe iniciar la recuperación específica
del OEM para restaurar el softw are de confianza.
3. Si se produce un problem a en la Adm inistración de arranque de Windows, el firm w are
trata de arrancar una copia de seguridad de esta aplicación. Si tam bién se produce un
error al hacerlo, el firm w are debe iniciar la corrección específica del OEM.
4. Una vez que la Adm inistración de arranque de Windows se encuentra en ejecución, si
se produce un problem a con los controladores o el kernel de NTOS, se carga el Entorno
de recuperación de Windows (Windows RE) para que se puedan recuperar estos
controladores o la im agen de kernel.
5. Windows carga el softw are antim alw are.
6. Windows carga otros controladores de kernel e inicializa los procesos de m odo
usuario.
Para acceder a la navegación segura de IE10 tenem os que ir a Icono de Herram ientas ->
Seguridad -> Exploración inPrivate, así se nos abrirá una nueva ventana donde
podrem os navegar en m odo privado.
TEMA 1 – Id e as clave 25
Se guridad e n Sis te m as Ope rativo s
Sm artScre e n
En esta versión de Windows 8 ha sido añadida una nueva capa de seguridad que se basa
en el filtro de Sm artScreen de Internet Explorer. Es un filtro de phishing y de m alw are,
im plem entado en varios productos de Microsoft, incluyendo Internet Explorer 8,
Hotm ail...El sistem a está diseñado para ayudar a proteger a los usuarios contra ataques
que utilizan la ingeniería social y las descargas alternativas para infectar un sistem a
m ediante el escaneo de las URL a las que accede un usuario utilizando una lista negra de
sitios web que contienen am enazas conocidas.
TEMA 1 – Id e as clave 26
Se guridad e n Sis te m as Ope rativo s
Una vez creado el usuario de prueba, accedem os al panel de control y pulsam os sobre
Configurar Protección Infantil y se nos abrirá la ventana de configuración de la cuenta.
TEMA 1 – Id e as clave 27
Se guridad e n Sis te m as Ope rativo s
Si adem ás perm itim os los «m ultigestos», es decir concatenar diferentes gestos para crear
una única contraseña, las com binaciones posibles se disparan incluso para una cantidad
de «gestos» relativam ente bajos.
Para acceder a esta herram ienta en Windows 8.1 tenem os que seguir los pasos:
1. Panel de control.
2. Cuentas de usuario y protección infantil.
3. Cuentas de usuario.
4. Seleccionam os nuestra cuenta y le dam os a Realizar cam bios en m i cuenta en
Configuración, tal y com o se m uestra en la im agen:
TEMA 1 – Id e as clave 28
Se guridad e n Sis te m as Ope rativo s
Una vez accedam os, seguirem os las instrucciones que nos pide el asistente.
Se han im plem entado nuevas m edidas para evitar que un fallo en una aplicación haga
que se expanda al sistem a operativo, y se han m ejorado diferentes m ecanism os para
prevenir la ejecución m aliciosa de código:
TEMA 1 – Id e as clave 29
Se guridad e n Sis te m as Ope rativo s
TEMA 1 – Id e as clave 30
Se guridad e n Sis te m as Ope rativo s
en un área «ejecutable» puedan ser ejecutados por los program as, servicios,
controladores de dispositivos, etc.
DEP protege contra algunos errores de program ación y ayuda a prevenir ciertas
acciones m aliciosas, especialm ente los ataques que alm acenan instrucciones
ejecutables en un área de datos a través de un desbordam iento de buffer. No protege
contra ataques que no se basan en la ejecución de instrucciones en el área de datos.
o DEP forzada por hardw are, para CPUs que pueden m arcar las páginas de m em oria
com o ejecutable y no ejecutable.
o DEP forzada por softw are, no protege contra la ejecución de código en las páginas
de datos, pero protege que se sobrescriban los m anejadores de excepciones SEH,
otro tipo de ataque.
El adm inistrador de tareas es una herram ienta que se encarga de actuar com o gestor de
procesos, servicios, aplicaciones y de m onitor del sistem a. Tam bién perm ite establecer
prioridades, controlar las aplicaciones que inician con Windows y reiniciar o detener
program as.
Podem os acceder a esta herram ienta pulsando Co n tro l + alt + s u p o Co n tro l + s h ift
+ Es c:
TEMA 1 – Id e as clave 31
Se guridad e n Sis te m as Ope rativo s
El Adm inistrador de tareas, com o vem os, ha sufrido un cam bio en cuanto al diseño
visual, tam bién podem os navegar entre las diferentes pestañas que vem os en la parte
superior del m ism o.
Latch e n W in d o w s
Es un plugin gratuito que se puede usar en Windows XP, Windows Vista, Windows 7,
Windows 8 y Windows 8.1 para bloquear el acceso o no a tus cuentas desde la aplicación
de Latch.
1. Para ello, prim ero necesitas haberte creado una cuenta de Latch com o desarrollador.
Podem os crearnos una cuenta en la página de: https:/ / latch.elevenpaths.com /
TEMA 1 – Id e as clave 32
Se guridad e n Sis te m as Ope rativo s
2. Ahora procedem os a configurar el Latch para Windows, en prim er lugar nos vam os a
configurar el AppID y el Secret de Latch para Windows. Para ello, en Latch para Windows
deberíam os ir al botón de Configuración de Latch y rellenar los cam pos con los valores
de la aplicación que te hayas creado en la web.
3. Tendrem os que dar de alta para parear el usuario. Este proceso es sim ilar al de pareado
de siem pre, solo que a la hora de configurar el com portam iento de Latch tienes que tener
en cuenta que hay un com portam iento que debes tener presente.
TEMA 1 – Id e as clave 33
Se guridad e n Sis te m as Ope rativo s
1.4. Windows 10
Privacid ad
TEMA 1 – Id e as clave 34
Se guridad e n Sis te m as Ope rativo s
En Windows 10 hay una serie de opciones y configuraciones que por defecto com parten
dicha inform ación, vulnerando en parte la privacidad del usuario.
Micro s o ft Ed ge
Otra de las novedades con las que cuentas Windows 10 es el navegador por defecto,
Microsoft Edge. Este navegador, al igual que Internet Explorer, trabaja dentro de una
Sandbox y posee filtros Sm artScreen, pero adem ás tiene ciertas m ejoras de seguridad
con respecto a su antecesor.
En prim er lugar, ha elim inado el soporte a ActiveX, VBScript, BHO (Browser Helper
Objects) y VML (Vector Markup Language), todos ellos obsoletos pero que aún eran
vectores de ataque para Internet Explorer.
TEMA 1 – Id e as clave 35
Se guridad e n Sis te m as Ope rativo s
Es un navegador de 64 bits y utiliza ASLR para prevenir ataques, pero adem ás posee una
nueva característica llam ada Control Flow Guard (CFG). CFG perm ite a los program as
com batir las vulnerabilidades de corrupción de m em oria, com o los desbordam ientos de
buffer o del heap. Para ello realiza una com probación antes de saltar a las diferentes
direcciones de m em oria, y dependiendo de si tiene perm iso o no para saltar a ella,
continuará su ejecución o no. Esta característica hace m ás difícil la creación de exploits
y es un com plem ento m ás al ASLR visto anteriorm ente, a DEP o a la Stack Cookie.
Me jo ras d e cifrad o
El segundo m ecanism o es para cifrar archivos y carpetas. Si hacem os clic derecho en una
carpeta o archivo y seleccionam os opciones avanzadas nos da la opción de cifrar el
contenido.
TEMA 1 – Id e as clave 36
Se guridad e n Sis te m as Ope rativo s
En el caso de elegir una carpeta nos dará la opción de cifrar solo esa carpeta o tam bién
de cifrar todas las subcarpetas y archivos. En el caso de ser un archivo, nos dará la opción
de cifrar solo el contenido del archivo o toda la carpeta que lo contenga.
TEMA 1 – Id e as clave 37
Se guridad e n Sis te m as Ope rativo s
Me jo ras e n W in d o w s D e fe n d e r
El antivirus por defecto en Windows, Windows Defender tam bién ha incluido alguna
m ejora con respecto a Windows 8.1. Podem os destacar la m ejora de búsqueda y
reconocim iento de bootkits y rootkits para Windows 10 y el análisis de archivos rápido.
Para esta segunda característica es posible hacer clic derecho en un archivo y seleccionar
la opción de “Digitalizar con Windows Defender”.
Para estudiar este punto con m ás detalle, se deberá leer las páginas:
J im eno, M.T., Caballero, M.A. y Míguez, C. (20 0 8). La Biblia del Hacker (pp. 461-469).
Madrid: Anaya.
Servidor de DHCP.
Servidor de aplicaciones.
Servidor de DNS.
Controlador de dom inio.
Servidor de archivos, correo, im presión, m ultim edia, term inal server.
Servidor de Wins.
TEMA 1 – Id e as clave 38
Se guridad e n Sis te m as Ope rativo s
Cabe destacar que a día de hoy existen diferentes versiones de Windows Server:
1. Windows 20 0 0 Server.
2. Windows 20 0 3 Server.
3. Windows 20 0 8 Server. (Últim a versión: R2)
4. Windows 20 12 Server. (Últim a versión: R2)
Cada una de ellas tiene diferentes versiones en base a las características y servicios que
necesitem os:
Standard.
Enterprise.
Datacenter o Web.
TEMA 1 – Id e as clave 39
Se guridad e n Sis te m as Ope rativo s
TEMA 1 – Id e as clave 40
Se guridad e n Sis te m as Ope rativo s
Algunos de los soportes Hardw are que podem os em plear para realizar una copia de
seguridad son los siguientes:
TEMA 1 – Id e as clave 41
Se guridad e n Sis te m as Ope rativo s
5. Mo d o s d e e je cu ció n : son los distintos niveles de perm isos y privilegios que nos
ofrece esta suite de Microsoft.
7. Po w e rSh e ll: es una utilidad instalada por defecto en esta distribución de Microsoft.
Consiste en una interfaz de consola (CLI) con posibilidad de escritura y ejecución de
com andos por m edio de guiones m ucho m ás interactiva y potente que sus
predecesores. (Ya vista en Windows 7). Algunos de sus com andos m ás interesantes
son:
TEMA 1 – Id e as clave 42
Se guridad e n Sis te m as Ope rativo s
No solo perm ite interactuar con el sistem a operativo, sino tam bién con program as
com o:
1. SQL Se rve r
2. Exch a n ge
3. IIS
Co m p arativa W in d o w s Se rve r 2 0 0 8 y 2 0 12
Antes de centrarnos en los dos últim os tipos de Windows Server, 20 0 8 y 20 12, verem os
una pequeña com parativa de las características que incluyen cada uno de ellos.
TEMA 1 – Id e as clave 43
Se guridad e n Sis te m as Ope rativo s
Modo de trunk VM ✖ ✓
Características del
Windows Server 20 0 8 R2 Windows Server 20 12
alm acenam iento
No, la m igración rápida de
Migración del alm acenam iento a través del Sí, sin límites (si el hardware
alm acenam iento System Center Virtual lo perm ite)
Machine Manager
Las m áquinas virtuales de Sí, bloqueando m ensajes del
✖
alm acenam iento de archivos servidor 3.0 (SMB3)
Me jo ras d e W in d o w s Se rve r 2 0 12
Windows Server 20 12 posee una serie de m ejoras a la hora de realizar una auditoría sobre
este.
TEMA 1 – Id e as clave 44
Se guridad e n Sis te m as Ope rativo s
Directivas de auditoría
✖ ✓
basadas en expresiones
Auditoría de acceso a
✓ ✓
archivos
Auditoría de dispositivos de
✖ ✓
alm acenam iento extraíbles
Co n ce p to s p re vio s
En esta edición de Windows Server, conviene diferenciar entre dos m étodos de ejecución
distintos, diferenciados entre sí por los perm isos y privilegios que disponen los
com ponentes del sistem a. Estos m odos de ejecución son:
TEMA 1 – Id e as clave 45
Se guridad e n Sis te m as Ope rativo s
Cuando hablam os de seguridad dentro de Windows Server, tenem os que hacer referencia
a que consta de m últiples capas y se apoya en varios m ecanism os y retos que se enfrentan
a todos los posibles intrusos. El concepto fundam ental que no debem os olvidar es que
únicam ente debem os perm itir el acceso autenticado a recursos, a través del p ro to co lo
d e au te n tificació n po r d e s a fío m u tu o .
Estándar: perm ite que los usuarios rem otos tengan acceso a recursos de red com o
archivos, carpetas y unidades.
Público: consiste en copiar o bien trasladar los archivos a la carpeta pública. Tam bién
es posible configurar Windows Server 20 0 8 para que trabaje con NFS, un sistem a de
com partición de carpetas locales en volúm enes NTFS a través del explorador de
Windows.
TEMA 1 – Id e as clave 46
Se guridad e n Sis te m as Ope rativo s
Se gu rid ad
Dentro de esta distribución existen diversos protocolos de autentificación rem ota. Entre
ellos se encuentran los siguientes:
EAP: se usa para la inform ación de autentificación entre el suplicante (la estación de
trabajo inalám brica) y el servidor de autentificación.
TEMA 1 – Id e as clave 47
Se guridad e n Sis te m as Ope rativo s
A continuación nos pedirá el serial de nuestra licencia Windows server, lo insertam os,
pulsam os en siguiente y nos aparecerá la siguiente ventana:
En nuestro caso, instalarem os la segunda opción, que incluye el servidor con un entorno
gráfico.
TEMA 1 – Id e as clave 48
Se guridad e n Sis te m as Ope rativo s
Una vez se haya acabado la instalación, el sistem a arrancará y nos pedirá que insertem os
un usuario y una contraseña, lo llevam os a cabo y pulsam os en siguiente.
Tras esta acción com enzará el prim er arranque de nuestro Windows Server 20 12:
TEMA 1 – Id e as clave 49
Se guridad e n Sis te m as Ope rativo s
Nota: la prim era vez que accedam os al sistem a, será necesario cam biar la contraseña de
adm inistrador.
Finalm ente iniciarem os sesión con nuestra cuenta de adm inistrador, para poder llevar a
cabo las configuraciones de nuestro servidor.
En caso de necesitar recordar nuestra contraseña de adm inistrador, será necesario seguir
los siguientes pasos:
TEMA 1 – Id e as clave 50
Se guridad e n Sis te m as Ope rativo s
Co n ce p to s p re vio s
Para poder cum plir adecuadam ente con la organización de las diversas tareas que se
pueden ejecutar en el servidor, hay que tener en cuenta que existen dos grupos
fundam entales:
N o m bre d e l e qu ip o
El prim er paso, sería acceder al botón Inicio/ Equipo botón derecho propiedades,
cam biam os el nom bre del equipo a: labo rato rio s .
TEMA 1 – Id e as clave 51
Se guridad e n Sis te m as Ope rativo s
TEMA 1 – Id e as clave 52
Se guridad e n Sis te m as Ope rativo s
En esta parte, instalarem os el directorio activo y configurarem os las DNS: (Dom ain
Nam e Server).
TEMA 1 – Id e as clave 53
Se guridad e n Sis te m as Ope rativo s
TEMA 1 – Id e as clave 54
Se guridad e n Sis te m as Ope rativo s
TEMA 1 – Id e as clave 55
Se guridad e n Sis te m as Ope rativo s
Agregam os las características y nos aparece el siguiente m enú, que corresponde a los
com ponentes que deseam os instalar en nuestro servidor.
TEMA 1 – Id e as clave 56
Se guridad e n Sis te m as Ope rativo s
Co n tro lad o r d e D o m in io
Una vez hem os llevado a cabo la instalación de nuestro Active Directory, el siguiente paso
corresponde a la configuración del controlador del dom inio. Para ello irem os al
Adm inistrador del servidor y lo configurarem os:
TEMA 1 – Id e as clave 57
Se guridad e n Sis te m as Ope rativo s
Los datos que em plearem os a lo largo del resto de la instalación serán los siguientes:
#
# Script de Windows PowerShell para implementación de AD DS
#
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation: $false `
-DatabasePath “C:\Windows\NTDS” `
-DomainMode “Win2012R2” `
-DomainName “laboratorio.test” `
-DomainNetbiosName “LABORATORIO” `
-ForestMode “Win2012R2” `
-InstallDns: $true `
-LogPath “C:\Windows\NTDS” `
-NoRebootOnCompletion: $false `
-SysvolPath “C:\Windows\SYSVOL” `
-Force: $true
TEMA 1 – Id e as clave 58
Se guridad e n Sis te m as Ope rativo s
El siguiente apartado corresponde a las opciones del controlador del dom inio:
TEMA 1 – Id e as clave 59
Se guridad e n Sis te m as Ope rativo s
El siguiente paso es indicar las rutas de acceso, se indicarán las de por defecto:
En el siguiente paso nos aparecerá la opción de revisar las opciones que hem os
configurado, aparece tam bién una opción denom inada: “Ver Script” este tiene que
coincidir con el descrito anteriorm ente debajo de la Figura 62: Configuración de
controlador de dom inio.
TEMA 1 – Id e as clave 60
Se guridad e n Sis te m as Ope rativo s
Una vez se ha verificado que todo está correcto, pulsarem os en siguiente y nos aparecerá
una com probación de que cum plim os los pre-requisitos para que pueda llevarse a cabo
la instalación:
Una vez haya finalizado el proceso de instalación, si accedem os al adm inistrador del
servidor, aparecerá que nuestro DNS ha sido instalado correctam ente y que únicam ente
faltaría llevar a cabo la configuración del DNS.
Aquí, dependiendo de los datos en cada caso, habría que em plear la herram ienta: Tool
dns y configurar los parám etros correspondientes tales com o:
Registro A
Zona Inversa
Creación de registro PTR enlazado con el servidor
Etc.
Tienen com o función principal perm itir de m anera centralizada la adm inistración de
todas las configuraciones relacionadas con la seguridad de estaciones de trabajo y/ o
servidores. Se em plean para aplicar conjuntos personalizados de definiciones de grupo,
relacionadas con la seguridad de los distintos equipos que form an parte del dom inio.
TEMA 1 – Id e as clave 61
Se guridad e n Sis te m as Ope rativo s
2. D ire ctivas lo cale s : son aquellas que se basan en controlar la seguridad de auditoría,
establecer derechos de usuario y otras opciones.
4. D ire ctivas d e ad m in is trad o r d e lis tas d e re d e s : perm ite controlar todas las
redes a las que se conecta un usuario.
Ve n ta jas :
- Su cifrado es sim ple, se realiza activando una casilla en las propiedades del
archivo en concreto.
- El usuario controla en todo m om ento quién puede leer los archivos.
- Los archivos se cifran una vez son cerrados, pero cuando el usuario los abre
quedan autom áticam ente listos para su uso.
- Si en algún m om ento el usuario decide no cifrarlo, puede hacerlo desactivando
la casilla que perm ite esto en propiedades.
In co n ve n ie n te s :
- EFS no es totalm ente com patible con:
• Windows Vista y 7 Starter.
• Windows Vista y 7 Hom e Basic
• Windows Vista y 7 Hom e Prem ium .
TEMA 1 – Id e as clave 62
Se guridad e n Sis te m as Ope rativo s
o Ap p Lo cke r: es una herram ienta que perm ite controlar qué aplicaciones y/ o
archivos pueden ejecutar los distintos usuarios. Esto incluye archivos de tipo
ejecutable, scripts, archivos de Windows Installer, DLL, instaladores de
aplicaciones etc.
o In icio d e s e s ió n d e cu e n tas .
o Ad m in is tració n d e cu e n tas .
o Se gu im ie n to d e tallad o .
o Acce s o D S.
o In icio y cie rre d e s e s ió n .
o Acce s o a o bje to s .
o Cam bio e n d ire ctivas .
o U s o d e p rivile gio s .
o Sis te m a.
o Au d ito ría d e a cce s o a o bje to s glo bal.
TEMA 1 – Id e as clave 63
Se guridad e n Sis te m as Ope rativo s
3. GPU p d ate : es un com ando em pleado para llevar a cabo la configuración de directiva
de grupo local y dom inio, incluyendo la propia configuración de seguridad.
4. GPRe s u lt: este parám etro m uestra inform ación de conjuntos resultantes de
directivas (RSop) ya sea para un usuario local, de dom inio y/ o de equipo.
Para ello vam os al panel de adm inistrador del servidor y seleccionam os la opción:
U s u ario s y e qu ip o s d e Active D ire cto ry.
TEMA 1 – Id e as clave 64
Se guridad e n Sis te m as Ope rativo s
En ese listado aparecen todos los usuarios, así com o grupos del Active Directory. Desde
él podem os m odificar las propiedades que considerem os convenientes de cada uno de
ellos.
TEMA 1 – Id e as clave 65
Se guridad e n Sis te m as Ope rativo s
N o ta: otra posibilidad, sería crear un contenedor de usuarios nuevo (que cuelgue desde
laboratorio, test) y dentro de este contenedor los usuarios que considere el adm inistrador
oportunos.
TEMA 1 – Id e as clave 66
Se guridad e n Sis te m as Ope rativo s
Marcam os la prim era opción, para forzar a que el usuario escoja y cam bie su contraseña
la prim era vez que se conecte.
Por otro lado, el adm inistrador podrá añadir otras opciones de configuración para la
contraseña del usuario, tal y com o figura en la im agen anterior.
Pulsam os en siguiente y nos aparecerá el resum en final del usuario creado:
U s u ario 1
U s u ario 2
U s u ario 3
TEMA 1 – Id e as clave 67
Se guridad e n Sis te m as Ope rativo s
TEMA 1 – Id e as clave 68
Se guridad e n Sis te m as Ope rativo s
Otra opción disponible es asignar los usuarios creados anteriorm ente al grupo: U n ir.
TEMA 1 – Id e as clave 69
Se guridad e n Sis te m as Ope rativo s
En la pestaña m iem bros, podem os agregar los diferentes usuarios que querem os que
pertenezcan a ese grupo:
Agregarem os: usuario1, usuario2 y usuario3, y finalm ente ya estarán disponibles estos
tres usuarios dentro del grupo que le hem os asignado.
Para ello, pulsam os en cualquier usuario con botón derecho: Pro p ie d ad e s , tom ando
com o ejem plo el de la Figura 77: Añadiendo usuarios a un grupo, solo que en vez de ser
para grupos, es para usuarios.
TEMA 1 – Id e as clave 70
Se guridad e n Sis te m as Ope rativo s
Para cam biar los valores de la m atriz, podem os ir com binando cualquiera de las
siguientes acciones:
Para seleccionar una hora en particular, solo habrá que hacer clic sobre la celda que
la representa.
Si lo que querem os seleccionar es una franja horaria, bastará con hacer clic en una de
las celdas que ocupen una esquina en el rango y, sin soltar el botón izquierdo del ratón,
arrastrar hasta la esquina opuesta (es decir, en diagonal).
Para seleccionar todas las horas de un determ inado día, podem os hacer clic sobre el
botón que contiene el nom bre del día (por ejem plo, lunes).
Para seleccionar todas las horas de varios días consecutivos (por ejem plo viernes y
sábado), procederem os com o en el punto anterior, seleccionando el prim ero (o el
últim o) de los días, pero en lugar de soltar el botón izquierdo del ratón, lo
m antendrem os pulsado m ientras arrastram os el puntero hasta el botón que
representa el otro extrem o del intervalo.
TEMA 1 – Id e as clave 71
Se guridad e n Sis te m as Ope rativo s
Para seleccionar toda la m atriz a la vez, podem os hacer clic sobre el botón Todo.
Para seleccionar una determ inada hora, pero en todos los días de la sem ana, hacem os
clic en el pequeño botón sin título que hay bajo el núm ero que identifica la hora (si la
hora es par) o bajo el punto correspondiente (si es im par), ya que, com o se puede ver,
solo están num eradas las horas pares.
Si querem os elegir un grupo de horas consecutivas para todos los días, procederem os
com o en el punto anterior, seleccionando la hora que indique el principio o el final del
intervalo, pero en lugar de soltar el botón izquierdo del ratón, lo m antendrem os
pulsado m ientras arrastram os el puntero hasta el botón que representa el otro
extrem o del intervalo.
Otra m edida interesante es lim itar en que equipo/ s puede iniciar el usuario sesión. Para
llevar a cabo esa configuración pulsam os en el botón «Iniciar sesión en»:
TEMA 1 – Id e as clave 72
Se guridad e n Sis te m as Ope rativo s
En esta sección podem os configurar a que equipo/ s se puede conectar el usuario aplicado
con el rango de horario explicado en el punto anterior. De esa m anera filtram os el
núm ero de equipo/ s al que el cliente puede conectarse y delim itam os un rango de
horario.
Podem os tam bién lim itar la cuota de disco/ s que tengam os en las propiedades de este:
TEMA 1 – Id e as clave 73
Se guridad e n Sis te m as Ope rativo s
Cabe destacar que dentro de esta nueva versión del sistem a operativo de Microsoft, se
pueden m odificar las directivas que considerem os convenientes, esto ha cam biado
respecto a la versión de 20 0 8.
Un ejem plo para cam biar la directiva o políticas de contraseña en esta edición de
Windows Server sería la siguiente:
TEMA 1 – Id e as clave 74
Se guridad e n Sis te m as Ope rativo s
En esta ocasión seleccionarem os: Password Settings, ya que querem os cam biar
directivas de las contraseñas, según lo que queram os deberem os explorar la opción
correspondiente.
TEMA 1 – Id e as clave 75
Se guridad e n Sis te m as Ope rativo s
Este tipo de utilidad ha sido la m ayoría de las veces una tarea casi diaria y fundam ental
en todas las organizaciones y/ o em presas.
Para poder hacer uso de esta característica lo prim ero que debem os hacer es seleccionar
la carpeta que queram os com partir:
TEMA 1 – Id e as clave 76
Se guridad e n Sis te m as Ope rativo s
Pu ls am o s bo tó n d e re ch o : Co m p a r t ir co n > U s u a r io s e s p e cífico s
TEMA 1 – Id e as clave 77
Se guridad e n Sis te m as Ope rativo s
Otra opción es com o se realizó en la Figura 54: Adm inistración del servidor (agregar
roles y características).
Se abrirá el asistente con la pestaña: Se rvid o r d e arch ivo s y alm ace n am ie n to >
Se rvicio s d e iSCSI y archivo ya m arcado. Pulsam os en Siguiente.
TEMA 1 – Id e as clave 78
Se guridad e n Sis te m as Ope rativo s
Una vez haya term inado la instalación, volvem os al Adm inistrador del servidor y en
Re cu rs o s Co m p artid o s pincham os en: Ta re as y N u e vo Re cu rs o co m p artid o .
En el siguiente paso se dispone de dos tipos de recursos com partidas, cada uno de ellos
con sus respectivas opciones:
TEMA 1 – Id e as clave 79
Se guridad e n Sis te m as Ope rativo s
Figura 91: Selección del tipo de recurso a com partir: SMB o NFS
Para establecer una ruta para el recurso tenem os dos opciones posibles:
Seleccionam os una unidad del equipo, donde se creará dicho recurso en una carpeta
llam ada: Sh are .
Indicándole una ruta específica.
Em plearem os la prim era opción.
TEMA 1 – Id e as clave 80
Se guridad e n Sis te m as Ope rativo s
A continuación, indicam os los datos para nuestro nuevo recurso (nom bre, descripción,
etc.). Adem ás podrem os ver la ruta donde se creará:
TEMA 1 – Id e as clave 81
Se guridad e n Sis te m as Ope rativo s
Cifrar acce s o d e d ato s : el acceso del archivo rem oto se cifrará evitando que pueda
ser m anipulado. Una sorprendente novedad es que no es necesario una entidad que
certificadora ni configuraciones adiciones, eso sí, esta característica únicam ente está
disponible para Windows 8 en adelante.
TEMA 1 – Id e as clave 82
Se guridad e n Sis te m as Ope rativo s
Ahora podem os llevar a cabo la m odificación de los perm isos que considerem os
conveniente, pinchando en p e rs o n a lizar p e rm is o s :
Nos aparece un resum en para verificar que todos los pasos son correctos:
TEMA 1 – Id e as clave 83
Se guridad e n Sis te m as Ope rativo s
Fire w all d e W in d o w s
Herram ienta fundam ental de seguridad para cualquier edición de este sistem a.
Para acceder a él abrim os nuestro adm inistrador de Windows Server y pulsam os en:
H e rram ie n tas / Fire w all
TEMA 1 – Id e as clave 84
Se guridad e n Sis te m as Ope rativo s
A continuación, nos aparece el panel del Firewall de Windows con seguridad avanzada.
Pulsam os en: N u e va Re gla:
TEMA 1 – Id e as clave 85
Se guridad e n Sis te m as Ope rativo s
En nuestro caso, seleccionarem os: Pro to co lo s y p u e rto s e insertarem os el núm ero 23,
correspondiente al servicio de: Te ln e t.
Pe rm itir la co n e xió n .
Pe rm itir la co n e xió n s i e s s e gu ra. Si se utiliza una conexión m ediante VPN a
través de IPsec.
Blo qu e ar la co n e xió n .
TEMA 1 – Id e as clave 86
Se guridad e n Sis te m as Ope rativo s
Por últim o cream os un nuevo nom bre para la regla establecida y una descripción:
Co p ias d e Se gu rid ad
En este últim o apartado explicarem os com o realizar una copia de seguridad de nuestro
Windows Server.
Una vez que la instalación se haya com pletado satisfactoriam ente, podrem os ejecutar la
utilidad para la gestión de copias de seguridad desde el m enú de adm inistración del
servidor:
TEMA 1 – Id e as clave 87
Se guridad e n Sis te m as Ope rativo s
Dentro de este planificado se perm ite planear copias de seguridad del servidor:
Co m p le tas .
Pe rs o n alizad as .
D e d is co s d u ro s e s p e cífico s .
TEMA 1 – Id e as clave 88
Se guridad e n Sis te m as Ope rativo s
Me s , h o ra y d ía d e la co p ia.
D is co d e s tin o .
Etc.
TEMA 1 – Id e as clave 89
Se guridad e n Sis te m as Ope rativo s
Au d itar e l acce s o al s e rvicio d e d ire cto rio , perm ite auditar la actividad de un
usuario sobre objetos que son de Active Directory y tienen im plem entada su propia
lista de control de acceso al sistem a (SACL).
Au d itar e l cam bio d e d ire ctivas , perm ite auditar los cam bios en las directivas de
asignación de derechos de usuario, las directivas de auditoría o las directivas de
confianza.
TEMA 1 – Id e as clave 90
Se guridad e n Sis te m as Ope rativo s
Au d itar e l u s o d e p rivile gio s , perm ite auditar cada instancia de usuario que utiliza
un derecho de usuario.
Es posible obtener una inform ación m ás detallada navegando por cada configuración de
auditoría que ofrece el sistem a, para ello hay que acceder a las propiedades de cada
configuración de auditoría y posicionarse en la pestaña Explicación.
TEMA 1 – Id e as clave 91
Se guridad e n Sis te m as Ope rativo s
Las auditorías se pueden configurar por m edio de dos herram ientas ofrecidas por
Windows Server 20 12 R2:
TEMA 1 – Id e as clave 92
Se guridad e n Sis te m as Ope rativo s
No olvidem os que por m edio de esta herram ienta las directivas aplicadas serán
sobrescritas por las directivas operativas a nivel de dom inio.
Una vez abierto el panel Directiva de seguridad local accedem os a la categoría Directiva
de auditoría m ediante Co n figu ració n d e s e gu rid ad > D ire ctivas lo cale s >
D ire ctiva d e au d ito ría, com o vem os en la siguiente im agen:
TEMA 1 – Id e as clave 93
Se guridad e n Sis te m as Ope rativo s
TEMA 1 – Id e as clave 94
Se guridad e n Sis te m as Ope rativo s
Una vez abierta la herram ienta Adm inistrador de directivas de grupo accedem os a la
categoría Objetos de directiva de grupo, para ello expandim os Ad m in is tració n d e
d ire ctivas d e gru p o > { El bo s qu e e n e l qu e qu e re m o s a p licar las d ire ctivas }
> D o m in io > { D o m in io e n e l qu e qu e re m o s ap licar las d ire ctivas } > Obje to s
d e d ire ctiva d e gru p o .
En este punto debem os seleccionar una de las dos posibilidades: D e fau lt D o m ain
Co n tro lle rs Po licy, configura las directivas sobre los controladores de dom inio, o
D e fau lt D o m ain Po licy, configura las directivas sobre todos los equipos que form an
parte del dom inio.
Para configurar las directivas en uno de los dos objetos de directiva de grupo
anteriorm ente nom brados, hacem os clic sobre el elem ento deseado y seleccionam os
Editar.
TEMA 1 – Id e as clave 95
Se guridad e n Sis te m as Ope rativo s
TEMA 1 – Id e as clave 96
Se guridad e n Sis te m as Ope rativo s
Para configurar una auditoría debem os hacer doble clic o bien seleccionar Propiedades
del m enú de opciones que facilita la directiva de auditoría que deseam os definir.
TEMA 1 – Id e as clave 97
Se guridad e n Sis te m as Ope rativo s
TEMA 1 – Id e as clave 98
Se guridad e n Sis te m as Ope rativo s
Com o ya vim os en el apartado prim ero, para com pletar esta inform ación u obtener una
descripción m ás com pleta puede acceder a la pestaña Exp lica ció n que contiene cada
Directiva de auditoría en su versión ya sea bien básica o avanzada.
Una vez en Editor de adm inistración de directivas de grupo nos desplazam os por el
árbol D ir e ct iv a D e fa u lt D o m a in Co n t r o lle r s Po licy [ ] > Co n fig u r a ció n d e l
e q u ip o > D ir e ct iv a s > Pla n t illa s a d m in is t r a t iv a s : … > Sis t e m a > D ir e ct iv a
d e g r u p o y seleccionam os la directiva Co n figu rar e l p ro ce s am ie n to d e d ire ctivas
d e s e gu rid ad com o vem os a continuación:
TEMA 1 – Id e as clave 99
Se guridad e n Sis te m as Ope rativo s
Esta directiva aplica el m odo de actualizar las directivas de seguridad en determ inados
escenarios, por ejem plo, cuando las condiciones de latencia en la conexión de red del
equipo cliente se ve increm entada, o la conexión de red es de bajo ancho de banda
(dispositivo m óvil). En este tipo de caso el sistem a de los equipos clientes afectados la
habilitan por defecto refrescando las políticas de seguridad cada 16 horas si no sufren
ningún tipo de cam bio.
La auditoría no solo es aplicable sobre directivas para controlar ciertos eventos, tam bién
en sistem as de ficheros NTFS se perm ite configurar la auditoría de ficheros y directorios.
Para acceder a la ventana de configuración prim eram ente debem os activar las directivas
de auditorías Au d it a r e l a cce s o a o b je t o s y Au d it a r e l a cce s o a l s e r v icio d e
d ir e ct o r io , tras esto seguim os los siguientes pasos,
En la siguiente ventana que se abre seleccionam os el usuario o grupo del que se tenga
interés realizar el registro de auditoría, una vez finalizada la configuración seleccionam os
Ace p t a r procediendo a registrar la entrada de seguridad.
Para realizar la configuración, prim ero debem os activar las directivas de auditorías
Au d it a r e l a cce s o a o b je t o s y Au d it a r e l a cce s o a l s e r v icio d e d ir e ct o r io . Tras
esto, debem os entrar al Pa n e l d e Co n t r o l y acceder a D is p o s it iv o s e Im p r e s o r a s ,
hacem os clic derecho sobre la im presora de interés para desplegar el m enú de opciones
y seleccionam os Pr o p ie d a d e s d e Im p r e s o r a , ahora vam os a la p e s tañ a
Se g u r id a d , seleccionam os O p cio n e s Av a n z a d a s , accedem os a la p e s tañ a
Au d it o r ía y hacem os clic sobre el botón Ag r e g a r , se nos abre una ventana de Entrada
de Auditoría, com o en la siguiente im agen:
Es posible auditar elem entos de Directorio Activo, com o dom inios, objetos y carpetas.
Para realizar una auditoría sobre estos elem entos debem os prim eram ente activar las
directivas de auditorías Au d it a r e l a cce s o a o b je t o s y Au d it a r e l a cce s o a l
s e r v icio d e d ir e ct o r io , tras esto, acceder a la herram ienta U s u a r io s y e q u ip o s d e
Act iv e D ir e ct o r y , accesible m ediante Ad m in is t r a d o r d e l s e r v id o r .
Una vez en Usuarios y equipos de Active Directory com probar que está activada la
opción Ca r a ct e r ís t ica s a v a n z a d a s disponible en el m enú Ve r .
Para agregar una regla sobre un elem ento hacer clic derecho sobre el dom inio, objeto o
carpeta deseada y seleccionar Pr o p ie d a d e s . Seleccionar la pestaña Se g u r id a d , hacer
clic en el botón Op cio n e s Av a n z a d a s , seleccionar la pestaña Au d it o r ía y hacer clic
en Ag r e g a r , se nos presenta una ventana de Entrada de auditoría, com o en la im agen
siguiente.
Para crear la entrada de auditoría sobre un elem ento de Active Directory debem os de
seguir una serie de pasos:
Adem ás de los elem entos auditables de Active Directory m ostrados anteriorm ente,
tam bién es posible auditar sitios y servicios. Para realizar auditoría sobre estos
elem entos debem os acceder a la herram ienta Sit io s y s e r v icio s d e Act iv e
D ir e ct o r y , accesible m ediante Ad m in is t r a d o r d e l s e r v id o r y una vez en Sitios y
servicios de Active Directory com probar que está activada la opción Ca r a ct e r ís t ica s
a v a n z a d a s disponible en el m enú Ve r .
Para agregar una regla de auditoría sobre un elem ento, hay que hacer clic derecho sobre
el dom inio, objeto o carpeta deseada y seleccionar Pr o p ie d a d e s , seleccionar la pestaña
Se g u r id a d , hacer clic en el botón Op cio n e s Av a n z a d a s , seleccionar la pestaña
Au d it o r ía y hacer clic en Ag r e g a r , se nos presenta una ventana de Entrada de
auditoría, com o se ve en la im agen:
Para crear la entrada de auditoría sobre un elem ento de Active Directory debem os de
seguir una serie de pasos:
Mediante los pasos anteriores ya tenem os creada nuestra entrada de auditoría para
establecer registro de eventos aplicando reglas de interés.
Vis u alizació n d e e ve n to s
La herram ienta Visor de Eventos nos facilita un Filtro para visualizar las entradas de
registro deseadas, entre otra serie de com plem entos visibles en el panel derecho.
Man ip u lar d ire ctivas d e au d ito ría co n Au d itp o l
Auditpol es una herram ienta de línea de com andos que perm ite m anipular las directivas
de auditoría de form a m enos lim itada a com o lo perm ite GPO.
En la siguiente tabla se describen los com andos principales que soporta la aplicación,
disponiendo cada uno de estos com andos de subcom andos que pueden consultarse en el
sím bolo del sistem a m ediante el com ando:
Auditpol /comando /?
Realizam os una prueba para lista listar todas las categorías de auditoría posibles con el
com ando:
auditpol /list /subcategory:*
Lo + r ecom en d a d o
Lecciones m agistrales
En esta lección m agistral se tratará un a herram ien ta n ueva que in trodujo Microsoft
desde Win dows 20 0 8 y que n os perm ite ten er la red bajo un estado de salud aceptable,
den egan do el acceso a la red de aquellos equipos que n o cum plan un os requisitos
m ín im os de seguridad.
No dejes de leer…
W in d o w s S e rve r 2 0 0 8
Sosinsky, B. (20 0 9). W indow s Server 20 0 8 , Instalación y Adm inistración (1ª edición).
Madrid: Ediciones EJ EMP Multim edia.
TEMA 1 – Lo + re co m e n d ad o 110
Se guridad e n Sis te m as Ope rativo s
Co p ia s d e s e gu rid a d y re s ta u ra ció n d e d a to s
Stanek, W. (20 11). W indow s Server 20 0 8 R2, Guía del Adm inistrador. Madrid:
Ediciones EJ EMP Multim edia.
Raya Cabrera, J . L., Raya González, L. y Martínez Ruiz, M. (20 10 ). W indow s Serv er
20 0 8, Configuración Avanzada (1ª Edición). Madrid: RA-MA Editorial.
TEMA 1 – Lo + re co m e n d ad o 111
Se guridad e n Sis te m as Ope rativo s
S e gu rid a d e n S is te m a s W in d o w s
Lockhart, A. (20 0 7). Seguridad de redes. Los m ejores trucos (2ª edición). Madrid:
Ediciones Anaya Multim edia.
TEMA 1 – Lo + re co m e n d ad o 112
Se guridad e n Sis te m as Ope rativo s
+ I n for m a ción
A fondo
En este artículo Microsoft nos habla en profundidad de las m ejoras incluidas en Windows
Server 20 12.
Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http:/ / download.m icrosoft.com / download/ 5/ B/ 2/ 5B254183-FA53-4317-B577-
75610 58CEF42/ WS%20 20 12%20 Evaluation%20 Guide.pdf
Webgrafía
W in d o w s 8 .1
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / windows.m icrosoft.com / es-ES/ windows-8/ m eet
En esta versión de Windows se realizan una serie de m ejoras frente a la versión Windows
Server 20 0 8 .
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / blogs.m sm vps.com / quilez/ 20 12/ 0 5/ 14/ windows-8-server-191-vale-la-pena-
actualizarse/
W in d o w s Se rve r 2 0 12 R2
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.tectim es.net/ articulo-windows-server-novedades-en-virtualizacion-hyper-
v-de-windows-server-20 12-r2/ # Hyper-V_ Recovery_ Manager
W in d o w s Se rve r 2 0 12 R2
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.m icrosoft.com / es-es/ server-cloud/ products/ windows-server-20 12-
r2/ default.aspx
IIS
Página web del IIS en la que podem os descargar IIS adem ás de varias extensiones
com patibles con la versión de IIS escogida.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.iis.net/
Po w e rGU I
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / powergui.org/
Ve raCryp t
Página web de VeraCrypt, en la que podem os descargar el softw are de cifrado y varios
m anuales de uso.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https:/ / veracrypt.codeplex.com /
Bibliografía
J im eno García, M. T., Míguez Pérez, C., Heredia Soler, E., Caballero Velasco, M. Á.
(20 11). Destripa la red. Madrid: Ediciones EJ EMP Multim edia.
J im eno García, M. T., Míguez Pérez, C., Matas García, A. M., Pérez Agudín, J . (20 0 9). La
Biblia del hacker. Madrid: Ediciones EJ EMP Multim edia.
Lockhart, A. (20 0 7). Seguridad de redes, los m ejores trucos (1ª edición). Madrid:
Ediciones EJ EMP Multim edia.
R. Stanek, W. (20 11). W indow s Server 20 0 8, Guía del Adm inistrador (1ª edición).
Madrid: Ediciones EJ EMP Multim edia.
R. Stanek, W. (20 11). W indow s Server 20 0 8 R2, Guía del Adm inistrador. (1ª edición).
Madrid: Ediciones EJ EMP Multim edia.
Act ivid a d es
Querem os hacer que el usuario «nom bre del alum no» tenga perm isos para usar una
carpeta com partida de docum entos. Crea el usuario «nom bre del alum no» para que solo
el usuario «nom bre del alum no» tenga perm isos desde cualquier sitio de la red.
Describe paso a paso y detalladam ente cóm o se ha realizado dicho procedim iento,
adem ás será necesario que se incluyan im ágenes (com o capturas de pantalla). Tam bién
será necesario que se incluya un índice del trabajo y una webgrafía o bibliografía de las
páginas web o libros utilizados para realizar la actividad.
NOTA: El usuario debe ser del dom inio curso.com y se debe contem plar que
posiblem ente se creen m ás usuarios con el m ism o perfil y perm isos.
Trabajo: Directivas
¿Qué diferencia hay entre las directivas de grupo y las directivas locales?
¿Qué diferencia hay entre auditar lo sucesos de inicio de sesión y auditar los sucesos
de inicio de sesión de cuenta?
En esta actividad se pide crear una directiva para im pedir que el alum no acceda al
panel de control para que así no pueda m odificar la configuración de la m áquina.
Tam bién vam os a im pedir que el alum no cam bie el fondo de pantalla.
Im plem enta las directivas necesarias para aplicárselo al usuario «nom bre del alum no»
anteriorm ente creado.
Describe paso a paso y detalladam ente com o se ha realizado dicho procedim iento,
adem ás será necesario que se incluyan im ágenes (com o capturas de pantalla). Tam bién
será necesario que se incluya un índice del trabajo y una webgrafía o bibliografía de las
páginas web o libros utilizados para realizar la actividad.
Cuota de disco
Querem os establecer una cuota de disco al usuario «nom bre del alum no» de 2GB y que
le deniegue espacio cuando supere dicha capacidad.
Describe paso a paso y detalladam ente com o se ha realizado dicho procedim iento,
adem ás será necesario que se incluyan im ágenes (com o capturas de pantalla). Tam bién
será necesario que se incluya un índice del trabajo y una webgrafía o bibliografía de las
páginas web o libros utilizados para realizar la actividad.
Test
1. ¿Qué función tiene el control de acceso de usuarios, UAC en los sistem as operativos
Windows?
A. Autenticar los usuarios en el inicio de sesión.
B. Notificar al usuario ante cualquier cam bio que se vaya a realizar en la
configuración del equipo y pedir confirm ación.
C. Añadir o quitar privilegios a los distintos usuarios y grupos en el sistem a.
D. Todas las anteriores son incorrectas.
3 . Applocker es:
A. Una herram ienta de control de ejecución de aplicaciones y scripts.
B. Una herram ienta que perm ite cifrar on-the-fly , tanto discos duros com o m edios
extraíbles.
C. Un firew all com ercial.
D. Una herram ienta de control de accesos y registro de accesos para
adm inistradores en Windows.
TEMA 1 – Te s t 120
Se guridad e n Sis te m as Ope rativo s
5 . ¿Qué es Sm artScreen?
A. Un m étodo de generación de contraseñas a partir de im ágenes.
B. La interfaz de Windows 8, que incluye una SandBox.
C. Un filtro de phishing y m alw are m ediante el escaneo de las URL.
D. Un m ecanism o de protección para la ejecución de código en la pila.
TEMA 1 – Te s t 121
Se guridad e n Sis te m as Ope rativo s
TEMA 1 – Te s t 122
Sistem as Linux
[2.1] ¿Cóm o estudiar este tem a?
[2.8] Proxies
T E M A
Sistemas Linux
Esq u em a
TEMA 2 – Es qu e m a
Sistem a operativo de softw are Seguridad en las funciones que no Seguridad en las funciones que
libre m uy popular cuyo código requieren acceso a la red requieren acceso a la red
puede ser modificado libremente
Seguridad en la autentificación Seguridad en el acceso a la red:
In tro d u cció n • TCP Wrapper
• El kernel • Cortafuegos
2
• El sistem a de archivos Seguridad en el acceso a la consola: • Netfilter
• Los perm isos • BIOS
• GRUB Proxies
In s talació n • Bloqueo de sesión • Squid
• Particionado • Teclas de petición del sistem a • WPAD
• Mem oria sw ap • Term inales virtuales • SARG
• Cifrado con LUKS • Usuarios
• Postinstalación y gestión de
paquetes Técnicas de detección de intrusos
Otras m edidas de seguridad
Se guridad e n Sis te m as Ope rativo s
Se guridad e n Sis te m as Ope rativo s
I d ea s cla ve
Lin u x es conocido mundialmente por sus ventajas sobre otros sistemas operativos, como
su mayor re n dim ie n to , m e n o r tas a de fallo s , s e gu ridad y gran soporte para todo
tipo de hardw are. Pero por encima de todo, la mayor ventaja que ofrece es que el sistema
operativo Linux es s o ft w a r e libre , es decir, cualquier persona puede descargarse el
código fuente de In te rn e t o adquirir un CD de bajo coste con la im age n .
En Linux, el usuario adm inistrador es r o o t , que dispone de todos los privilegios del
sistem a. Cualquier atacante desearía tener el control de r o o t , ya que de esta form a
tendría acceso a todos los servicios, dispositivos y cuentas de usuario.
Para arrancar Linux o cualquier otro sistem a operativo en un host se debe de configurar
un proceso de inicio. El proceso de inicio em pleado por Linux es: GRUB o LILO, aunque
este últim o se usa cada vez m enos, el cual puede arrancar Linux o cualquier otro sistem a
operativo instalado en el host.
TEMA 2 – Id e as clave 3
Se guridad e n Sis te m as Ope rativo s
A veces puede ser in teresan te a n a liza r e l trá fico que gen era un orden ador para
decidir si bloquear o dejar pasar la com un icación . Para ello existen los co rta fu e go s ,
que son program as que exam in an el tráfico que atraviesa un a in terfaz y tom an
d e cis io n e s d e e n ru ta m ie n to basán dose en un a serie de re gla s .
Los cortafuegos pueden ser dispositivos softw are o hardw are. Los cortafuegos suelen
con fun dirse con los filtro s d e p a q u e te s , pero n o son lo m ism o. Los cortafuegos
in cluyen la fun ción de filtros de paquetes, pero algun os cortafuegos pueden exam in ar
algo m ás que sim ples en cabezados de paquete; tam bién pueden exam in ar los datos (o
la carga útil) de los paquetes para decidir si son bloqueados o n o.
H oy en día, la in form ación es un activo de gran valor, tan to para las em presas com o
para los particulares. Si se produjera un acciden te que dañ ara dicha inform ación las
con secuen cias podrían ser fatales. Para in ten tar evitar esta tragedia existen los
b a c k u p s o copias de seguridad, los cuales perm iten restaurar un sistem a de ficheros
dañ ado al estado guardado en el últim o b a c k u p .
Los a rch ivo s d e re gis tro de Lin u x , que se en cuen tran alm acen ados en los discos
duros, con tien en datos gen erados por los d e m o n io s del sistem a, el k e r n e l, etc. Estos
datos deben gestion arse m edian te p o lítica s d e re gis tro , ya que tienen una vid a ú til
lim ita d a . En estas políticas de registro se defin e cóm o se va a tratar a estos registros,
si se tien en que m an ten er o n o, duran te cuán to tiem po se m an tien en , el salvado de
estos registros, etc. En la m ayoría de las distribucion es de Lin u x los registros se
alm acen an en el directorio /var/log.
Los sistem as de archivos en red, N FS (Network File System ), perm iten que dos host
Lin ux com partan s is te m a s d e a rch ivo s , por lo tan to varias m áquin as en un a m ism a
red podrán acceder a ficheros rem otos com o si se tratara de locales de un a form a
totalm en te tran sparen te para el usuario.
TEMA 2 – Id e as clave 4
Se guridad e n Sis te m as Ope rativo s
Para a s e gu ra r lo s d a to s que se en cuen tran alm acen ados den tro de los discos se
utiliza RAID . RAID perm ite utilizar varios discos com o si fueran un ún ico disco
gran de, distribuyen do o replican do los datos alm acen ados, con lo que se m ejorará la
seguridad y disponibilidad de los datos.
Este tem a está dedicado a la seguridad en Lin ux. Nos hem os basado en las
distribuciones D e b ia n GNU/ Lin ux 7.3 W h e e zy (14 de diciem bre de 20 13) y U b u n tu
TEMA 2 – Id e as clave 5
Se guridad e n Sis te m as Ope rativo s
Se recom ienda tener un sistem a Debian 7.3 o Ubuntu 12.0 4.3, com o se ha m encionado
antes, instalado en una partición del sistem a operativo o bien en una m áquina virtual
para poder practicar las diferentes lecciones de este tem a.
El ke rn e l
El k e r n e l, situado en tre el hardw are y las aplicacion es, puede ser con siderado com o
el n úcleo de los sistem as Lin ux y su fun ción es la de hacer que el softw are y el hardw are
trabajen jun tos. Las fun cion es m ás im portan tes del k e r n e l son adm in istrar la
m em oria y el tiem po de ejecución de los program as que están ejecután dose y gestion ar
el acceso a los periféricos.
TEMA 2 – Id e as clave 6
Se guridad e n Sis te m as Ope rativo s
Con respecto a la seguridad en el n úcleo de Lin ux ten drem os que ten er claro los
siguien tes aspectos:
La opción de red.
El cifrado que soporta.
H ardw are de cifrado que soporta.
Sistem a de archivos.
El proyecto GNU.
En ciertos casos, será necesario inform arse si n uestra distribución actualiza ciertos
aspectos de n uestro in terés que afectan a la seguridad del k e r n e l. En caso contrario
habría que pen sar en com pilar (com o m edida de em ergen cia) el k e r n e l o parche del
k e r n e l que n ecesitem os.
Para ver las version es del kern el que podem os ten er acceso desde n uestro repositorio,
usarem os el siguien te com an do:
# apt-cache search linux-image
Un a buen a fuen te de in form ación del n úcleo de Lin u x se podría en contrar en la web
de D e b ia n http:/ / packages.qa.debian .org/ lin ux o en la web de U b u n tu
http:/ / kernel.ubun tu.com / reports/ version s.htm l
Para instalar la versión del kern el que n ecesitam os usarem os el com ando:
# apt-get install linux-image-version
El s is te m a d e a rch ivo s
El sistem a de archivos de Lin ux, com o el de otros sistem as operativos, es en form a de
árbol. H ay un ún ico tron co o raíz (root) del que salen todas las ram as. Directorios
den tro de otros de directorios que con tien en otros archivos u otros directorios.
En la siguien te tabla se pueden ver algun os de los diferen tes sistem as de archivos
soportados en Lin ux:
TEMA 2 – Id e as clave 7
Se guridad e n Sis te m as Ope rativo s
Los archivos de los que con sta el sistem a operativo son de tipo:
La seguridad del sistem a de archivos reside en perm isos que tien en usuarios y grupos
a n ivel de archivos. Si in troducim os la orden ls –la el sistem a n os m ostrará todo el
con ten ido del directorio en el que n os en con trem os.
TEMA 2 – Id e as clave 8
Se guridad e n Sis te m as Ope rativo s
1. La prim era colum n a son un a serie de 10 letras que describen el tipo de archivo, los
perm isos del usuario propietario, los perm isos del grupo propietario y los perm isos
del resto de usuarios.
2. La segun da colum n a, es un n úm ero que n os dice el n úm ero de archivos/ directorios
que con tien e.
3. La tercera y cuarta colum n a son respectivam en te, el usuario y el grupo propietario
del archivo. Todos los archivos tien en un usuario y un grupo de usuarios propietario.
4. La quin ta colum n a es el tam añ o.
5. Las siguien tes 3 colum n as m uestran la fecha y hora del últim o acceso al archivo.
6. Finalmente, la última columna el nombre del archivo.
TEMA 2 – Id e as clave 9
Se guridad e n Sis te m as Ope rativo s
P e rm is o s
Volvam os a echar un vistazo a la colum na de los perm isos (prim era colum na) descrita
anteriorm ente. La prim era letra describe el tipo de archivo. En la siguiente tabla se
m uestra los valores de dicha prim era letra y su significado:
Los nueve siguientes sím bolos describen de tres en tres (y en este orden) los perm isos
del propietario, del grupo y del resto de usuarios. Los perm isos se dividen en lectura “r”,
escritura “w” y ejecución “x”.
Para cam biar los perm isos del archivo usam os el com an do c h m o d . Los perm isos se
defin en m edian te bits:
TEMA 2 – Id e as clave 10
Se guridad e n Sis te m as Ope rativo s
De esta m an era:
Por ejem plo, si querem os habilitar todos los perm isos al propietario, asign ar perm isos
de lectura y escritura al grupo y quitar todos los del resto de los usuarios, ejecutarem os
la siguien te orden :
# chmod 760 <nombre_archivo>
Si querem os cam biar el usuario propietario del archivo ten em os el com an do chown :
# chown <nombre_usuario> <nombre_archivo>
Si querem os cam biar el grupo propietario del archivo ten em os el com ando chgrp:
# chgrp <nombre_grupo> <nombre_archivo>
Los perm isos m ás típicos suelen ser 755 (rwx r-x r-x).
P ro ye cto GN U ( GN U is N o t U n ix)
En septiem bre de 198 3 se hizo público el proyecto por Richard Stallm an . La idea era
hacer de form a altruista que un sistem a operativo fuera del softw are propietario. El
prim er desarrollo del proyecto fue em acs a los que siguieron m uchos m ás.
En prin cipio, Lin ux es sim plem en te el k e r n e l del sistem a operativo, pese a que hoy en
día se conoce el proyecto Lin ux/ GNU com o Linux.
Se recom ienda que para la in stalación del sistem a operativo se realice un a in stalación
m ín im a para así evitar com plicacion es. Un a vez esté dicha in stalación realizada, se
deberán in stalar solo los com ponen tes que vam os a necesitar. In stalar servicios
in n ecesarios puede com plicar n uestra labor de securización del sistem a.
TEMA 2 – Id e as clave 11
Se guridad e n Sis te m as Ope rativo s
TEMA 2 – Id e as clave 12
Se guridad e n Sis te m as Ope rativo s
Pa rticio n a d o d e Lin u x
La decisión del particion ado del disco duro deberá de ser m an ual. Ten er diferen tes
directorios del sistem a en distin tos volúm en es lógicos perm ite un m ayor con trol del
sistem a de ficheros y aum en ta el ren dim ien to y la seguridad del sistem a. De esta
m an era las particion es y el tam añ o de estas aten derán a diversos factores:
En la siguien te im agen se m uestra cóm o hem os particion ado n uestra m áquin a virtual.
Para en ten der cóm o aplicar el particion ado, ten drem os que en ten der los diferen tes
directorios del sistem a. Para realizar esta lista n os hem os basado en la distribución
Ubun tu y Debian .
TEMA 2 – Id e as clave 13
Se guridad e n Sis te m as Ope rativo s
TEMA 2 – Id e as clave 14
Se guridad e n Sis te m as Ope rativo s
/sys (sistema): inform ación sobre los dispositivos tal y com o los ve el kernel.
/tmp (temporales): es un directorio donde se alm acenan ficheros tem porales. Cada
vez que se inicia el sistem a este directorio se lim pia.
/usr: contiene la configuración y las bibliotecas de C, C++ y de aplicaciones de
escritorio. Tam bién tiene archivos com partidos y el código fuente para el kernel Linux
(en /usr/src)
/var: ficheros del sistem a com o los buffer de im presión, los logs…
Adem ás de los diferen tes directorios que podem os en contrar hay dos térm in os que
debem os con ocer para un a in stalación óptim a y un a buen a gestión de las particiones:
Cuan do n uestra m em oria RAM n o es suficien te, Lin ux usa el disco duro para
alm acen ar dicha in form ación que n o n os cabe en la RAM. Para realizar esta fun ción
Swap (o de in tercam bio) es n ecesario crear un volum en lógico, que deberá ten er
en tre 1 y 2 Gb. Este proceso de usar el disco duro com o m em oria caché se llam a
m em oria virtual.
TEMA 2 – Id e as clave 15
Se guridad e n Sis te m as Ope rativo s
Cifra d o d e p a rticio n e s co n LU KS
Cifrar la inform ación que con tien en los discos duros de un sistem a Lin ux es vital.
Cuan do se accede a un sistem a sin perm iso se suele dar el robo de in form ación , es
im portan te protegerse an te ello por la im portan cia o con fiden cialidad que pueda
ten er esta in form ación o sim plem en te por ser datos person ales que un o quiere ten er
bien protegidos.
En los siguien tes capítulos se desarrolla toda un a serie de m edidas a tom ar para
securizar n uestro sistem a. De todas m an eras n os parece bastan te im portan te señ alar,
el em pezar a utilizar el com an do s u d o . Es probable que el com an do s u d o n o aparezca
in stalado, por lo que quizá n ecesitem os acceder al sistem a com o root para poder usar
el com an do apt-get de in stalación de paquetes. A con tin uación vam os a ver la
in stalación de paquetes, y para perm itir que un usuario pueda utilizar el com an do
s u d o irem os al pun to U s u ario s .
En Lin ux, los program as están divididos en paquetes in dividuales, lo que facilita su
m an ten im ien to. Según la distribución en la que n os en contrem os, el form ato de dichos
paquetes varía. En D e bia n y U bu n tu son de exten sión deb.
Un a vez in stalada la base del sistem a operativo n ecesitarem os em pezar a in stalar todos
los paquetes n ecesarios según los servicios que queram os ten er en n uestro servidor.
Tan to D e bia n com o U b u n tu utilizan AP T (Adv an ced Packaging Tool) com o sistem a
de gestión de paquetes. El fichero / etc/ apt/ sources.list con tien e los repositorios de los
que la utilidad AP T (Adv an ced Package Tool) descarga los paquetes para su
m an ten im ien to.
TEMA 2 – Id e as clave 16
Se guridad e n Sis te m as Ope rativo s
Los paquetes tien en un a estructura de depen den cia y gestores de paquetes com o AP T
se en cargan de resolver dichas depen den cias. En Ubun tu y Debian esas depen den cias
varían en tre: pa q u e te s n e ce s a rio s , re co m e n d a d o s y s u ge rid o s . Al in stalar un
paquete se in stalan , por defecto, los paquetes re co m e n d a d o s .
TEMA 2 – Id e as clave 17
Se guridad e n Sis te m as Ope rativo s
Si querem os que adem ás de borrar el paquete elim in em os tam bién todos los archivos
de con figuración :
# apt-get --purge remove <nombre_del_paquete>
# apt-get autoremove
Tras la desin stalación de paquetes que n o querem os, ten drem os que desin stalar los
paquetes in n ecesarios:
# apt-get autoremove
La base de la auten ticación basada en con traseñ as con siste en crear con traseñas
robustas. Es ahí don de se en tran en juego crear con traseñ as de calidad, difícilm en te
adivin ables m edian te la fuerza bruta o el conocim ien to de su usuario.
TEMA 2 – Id e as clave 18
Se guridad e n Sis te m as Ope rativo s
Esta sería un a lista de con sejos a la hora de realizar con traseñ as:
Para vigilar la calidad de las con traseñ as podem os utilizar PAM (Pluggable
Authen tication Module). Median te el m ódulo pam_cracklib se analiza dicha calidad y
puede analizar aspectos com o la longitud de la contraseña, evitar que las contraseñas
sean palabras en diccionarios o que la contraseña no sea la m ism a que la anterior. La
configuración del m ódulo pam_cracklib reside en /etc/pam.d/common-password.
Tam bién podem os asign ar caducidad a las con traseñ as existen tes desde el fichero
/etc/login.defs.
B IOS
La con figuración de la B IOS debe estar protegida con un a con traseñ a. Esto evitará los
cam bios de con figuración que vam os a hacer sobre esta. Desde la B IOS se debe añ adir
un a con traseñ a al arran car el sistem a y establecer el disco duro com o prim era partición
de arran que desactivan do el arran que de otras un idades com o CD ROM o U S B ,
llegan do in cluso a elim in arlos físicam en te si fuera posible.
GRU B
TEMA 2 – Id e as clave 19
Se guridad e n Sis te m as Ope rativo s
GRU B posee la ven taja de aportar un a in te rfa z grá fica , con lo que el usuario podrá
ver los com an dos disponibles y n o ten drá que recordarlos, lo que facilita en orm em en te
su uso.
Para un a m ayor seguridad, es n ecesario con figurarlo para que n o se pueda m odificar
su con figuración .
TEMA 2 – Id e as clave 20
Se guridad e n Sis te m as Ope rativo s
Por otro lado en GRU B por defecto, aparecen dos en tradas, un a de ellas es la n orm al
y la otra es la de recuperación del sistem a. Si el sistem a tien e un usuario root n os pedirá
la clave de dicho usuario al en trar en m odo recuperación (m o d o s in gle -u s e r). Sin
em bargo, si este usuario n o fue creado, el sistem a iniciará el sistem a con el usuario
r o o t sin pedirn os n in gun a clave.
Para evitar esto la solución sería asign ar un a clave a dicho usuario ejecutan do las
órden es:
# sudo su
# passwd
Si querem os que la con sola descon ecte el usuario cuan do se superen los 30 0 segun dos
de in actividad ten drem os que añ adir en el archivo /etc/profile las lín eas:
TMOUT=300
readonly TMOUT
export TMOUT
B lo q u e o d e s e s ió n
Tam bién existen herram ien tas para b lo q u e a r la s e s ió n de la con sola activam en te.
En D e bia n existe la herram ien ta vlo ck y en U b u n tu la herram ien ta s cre e n . Para su
in stalación y uso lea la docum en tación correspon dien te.
B a n n e r d e l S is te m a
Te cla s d e p e tició n d e l s is te m a
TEMA 2 – Id e as clave 21
Se guridad e n Sis te m as Ope rativo s
perm ite rein iciar el sistem a. Estas teclas pueden ser llam adas sin n ecesidad de haberse
logueado en el sistem a.
Te rm in a le s virtu a le s
Lin ux vien e por defecto con 6 Term in ales virtuales. Para acceder a cada un a de ellas se
utiliza la com bin ación de teclas Alt + ( F1, F2 , F3 , F4 , F5 o F6 ) . De esta m an era,
podem os en un proceso de in stalación de paquetes en la term in al tty1 m ien tras leem os
un archivo en la tty2 .
TEMA 2 – Id e as clave 22
Se guridad e n Sis te m as Ope rativo s
En Debian , para deshabilitar todas las term in ales virtuales excepto un a ten drem os que
com en tar, del fichero / etc/ in ittab las siguien tes lín eas:
2:23:respawn:/sbin/getty 38400 tty2
3:23:respawn:/sbin/getty 38400 tty3
4:23:respawn:/sbin/getty 38400 tty4
5:23:respawn:/sbin/getty 38400 tty5
6:23:respawn:/sbin/getty 38400 tty6
En Ubun tu ten drem os que elim inar los ficheros que configuran estas term inales
virtuales. Para esto usarem os desde la Shell de Lin ux el com an do rm:
# rm /etc/init/tty2.conf
# rm /etc/init/tty3.conf
# rm /etc/init/tty4.conf
# rm /etc/init/tty5.conf
# rm /etc/init/tty6.conf
U s u a rio s
Al fin alizar la in stalación , según el sistem a operativo, se crean distin tos usuarios. En
D e b ia n se crea un usuario r o o t y un usuario sin privilegios de adm in istración . En
U b u n tu un usuario r o o t deshabilitado y un usuario con privilegios de adm in istración .
Los usuarios deberían de ser los siguien tes:
El com an do s u n os perm itirá usar el in térprete de com an dos de otro usuario sin salir
de n uestra sesión . Nos pedirá la contraseñ a de la cuen ta de usuario a la que querem os
acceder.
La ven taja que tien e s u d o sobre s u , es que solo ejecuta un com an do com o
adm in istrador, estan do al in stan te siguien te de n uevo com o usuario sin privilegios.
TEMA 2 – Id e as clave 23
Se guridad e n Sis te m as Ope rativo s
Pero este com an do tien e a veces un «período de gracia», un pequeñ o tiem po en el que
n o n ecesitará pedir la con traseñ a para ejecutar de n uevo un com an do com o el otro
usuario, pasado este tiem po volverá a requerir la con traseñ a. Es acon sejable desactivar
este «período de gracia» para evitar que si alguien se apodera de n uestra m áquin a
duran te el tiem po que esté activado pueda ejecutar com an dos de adm in istrador.
Para lim itar el acceso al com an do su, realizar los siguien tes pasos:
1. Crear el grupo “wheel”
# addgroup wheel
2. Añ adir el usuario que querem os que pueda ejecutar el com an do su al grupo recién
creado.
3. Verificar que en el fichero /etc/pam.d/su aparece la siguien te lín ea:
auth required pam_wheel.so
Para lim itar el uso de sudo hay que realizar los siguien tes pasos:
1. Logarn os com o root o utilizar el com an do su.
2. Probar si el com an do sudo está in stalado m ediante la orden sudo – V que com prueba
la versión . Si n o nos m uestra la versión del com an do, ten drem os que in stalarlo.
3. Visualizar la lista los grupos que existen en el sistem a:
# vi /etc/group
4. Todos los usuarios que vayan a usar el com an do sudo ten drán que estar en el grupo
adm in . Crear el grupo adm in si n o está creado:
# addgroup admin
5. Para m ostrar los grupos a los que perten ece un usuario:
# groups <nombre_de_usuario>
6. Para añ adir un usuario al grupo adm in :
# usermod -a -G admin <nombre_de_usuario>
7. Se ha de m odificar el fichero /etc/sudoers. Para m odificarlo usarem os el com an do:
# visudo
8 . Añ adirem os la lín ea:
%admin ALL=(ALL) ALL
9. Guardarem os los cam bios.
TEMA 2 – Id e as clave 24
Se guridad e n Sis te m as Ope rativo s
Fin alm en te, es n ecesario que las cuen tas del sistem a estén bloqueadas y no se les
perm ita acceso a la Shell. H ay que ten er en cuen ta que n o p u e d e a p lica rs e a l
u s u a rio r o o t . Esto evita la posibilidad de que un in truso pueda ben eficiarse de un a
de estas cuen tas. Son usadas por el sistem a para realizar ciertas tareas. Sigue los
siguien tes pasos:
1. Obten er todos los usuarios del sistem a. Para ello seleccion arem os los usuarios con
un UID in ferior a 50 0 . Para obten er todos los usuarios con sus n om bres UID y
Shell correspon dien tes, ejecutar el siguien te com an do:
# aw k -F: '{prin t $ 1 ":" $ 3 ":" $ 7}' / etc/ passw d
2. Seguidam en te bloquear cada un o de los usuarios del sistem a con la orden :
# userm od -L <usuario>
3. Deshabilitarem os la Shell de cada un o de los usuarios del sistem a con la orden :
# userm od -s / usr/ sbin / n ologin <usuario>
TEMA 2 – Id e as clave 25
Se guridad e n Sis te m as Ope rativo s
TCP W ra p p e r
Para com probar si el servicio hace uso de lib w ra p ejecutarem os el com an do:
# ldd /ruta/ejecutable/servicio | grep libwrap.so
En el caso de querer saber que paquetes fun cion an con libw ra p ejecutar:
$ apt-cache rdepends libwrap0
Por defecto TCP W ra p p e r adm ite toda con exión a los servicios. Para su con figuración
específica podrem os usar los ficheros / etc/ hosts.allow , para perm itir los servicios y
/ etc/ hosts.den y para den egar los servicios.
Si el com ando an terior devuelve texto significará que el servicio habrá que con figurarlo.
2. Si en con tram os dos servicios “portm ap” y “sshd” que querem os que sean privados
y en con tram os otro, por ejem plo, “v sftpd” que sea público:
Por defecto, las conexiones realizadas a través de TCP Wrapper se registran en el fichero
/var/log/auth.log
TEMA 2 – Id e as clave 26
Se guridad e n Sis te m as Ope rativo s
S o b re lo s Co rta fu e go s
Com o dijim os an teriorm en te, tam bién es n ecesario un co rta fu e go s o fir e w a ll. Se
puede defin ir co rta fu e go s com o «un program a que exam in a cuidadosam en te el
tráfico de red que recorre la in terfaz de red». Un cortafuegos puede ser un dispositivo
hardw are con el program a en capsulado o un softw are para in stalar en un host, pero
am bos tien en la m ism a fun ción . La fun ción del cortafuegos es bloquear el acceso no
autorizado, perm itien do al m ism o tiem po com un icacion es autorizadas.
Los cortafuegos pueden ser confun didos con los filtro s d e p a q u e te s , ya que los dos
filtran paquetes, pero los cortafuegos son capaces de an alizar los datos de los paquetes.
Un cortafuegos n o sirve para n ada si n o está bien con figurado. El adm in istrador de
sistem as debe con figurar un as reglas en el firew all para definir qué tráfico se debería
perm itir y cuál se debería den egar en la red.
Los cortafuegos perm iten filtrar el tráfico según : el tipo de protocolo, la dirección IP y
el puerto de origen , la dirección IP y el puer to de destin o, el tipo de m en saje ICMP y el
código, los in dicadores TCP y la in terfaz de red a la que llega el paquete.
Los cortafuegos pueden desarrollar adem ás fun cion es extra, com o la traducción de
direccion es de red (N AT), la redirección de puertos, la creación de redes privadas
virtuales (VPN ) y las zon as desm ilitarizadas (D MZ).
N e tfilte r ( ip t a b le s )
N e tfilte r es el cortafuegos que vien e en el n úcleo de Lin ux y que se con trola desde la
herram ien ta ip t a b le s .
El fun cion am ien to basado en las caden as se m an tien e, pero en iptables las caden as son
parte de agrupacion es lógicas llam adas tablas, las cuales son de tres tipos: Filt e r , N AT
y m a n g le .
TEMA 2 – Id e as clave 27
Se guridad e n Sis te m as Ope rativo s
N AT está form ada por las caden as P REROU TIN G, POS TROU TIN G y OU TPU T.
Esta tabla está diseñ ada para la traducción de direccion es de red (N AT).
-s: IP de origen
-d: IP de destin o
-i: in terfaz de en trada
-o: in terfaz de salida
-p tcp/ udp/ icm p: establecer el protocolo
-m state: estado del paquete
-m lim it: lím ites en el n úm ero de paquetes
--sport: puerto de origen
--dport: puesto de destin o
Para un a buen a con figuración de un cortafuegos básico, querem os que prim eram en te
descarte los paquetes que n o tien en asign ada n in gun a regla. Estos serían los pasos:
1. Elim in ar las reglas existen tes:
# iptables -F
2. Elim in ar todos los paquetes por defecto en todas las direccion es:
# iptables -P INPUT DROP
# iptables –P OUTPUT DROP
# iptables –P FORWARD DROP
3. Perm itir la en trada y salida de la interfaz loopback:
# iptables –A INPUT -i lo -j ACCEPT
# iptables –A OUTPUT -o lo -j ACCEPT
4. Añ adir los perm isos de en trada y salida de aquellas con exion es ya establecidas:
# iptables –A INPUT -m state -–state ESTABLISHED,RELATED -j ACCEPT
# iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
TEMA 2 – Id e as clave 28
Se guridad e n Sis te m as Ope rativo s
Con estas reglas básicas em pezarem os a añ adir reglas que n ecesitarem os para n uestros
perm isos. Por ejem plo, podrem os realizar las siguien tes reglas:
Siem pre podrem os ver la con figuración del cortafuegos con el com an do # iptables –
L. Un a vez term in ado la con figuración nos in teresaría guardar dicha con figuración en
un archivo y ejecutar dicho archivo al inicio del sistem a. Si n o hacem os esto, al rein iciar
el servidor perderem os toda la configuración del cortafuegos.
TEMA 2 – Id e as clave 29
Se guridad e n Sis te m as Ope rativo s
Y para ejecutarlo al in icio del sistem a añ adirem os al fichero / etc/ rc.local la siguien te
lín ea:
iptables-restore < /etc/cortafuegos.conf
Tam bién existen otras herram ien tas que m an ejan la con figuración de m an era m ás
am igable. S h o re w a ll (en D e bia n ) y U FW (en U bu n tu ) son dos de estas
herram ien tas. Tan to S h o re w a ll com o U FW m an ejan por detrás com an dos de
ip t a b le s por lo que siem pre se puede usar el com an do # iptables –L para ver la
con figuración que se ha aplicado.
Ejecutarem os la utilidad:
# sysv-rc-conf
TEMA 2 – Id e as clave 30
Se guridad e n Sis te m as Ope rativo s
Para cam biar el m odo actual de ejecución , por ejem plo al ru n le ve l 4 , se usaría la
in strucción :
# telinit 4
TEMA 2 – Id e as clave 31
Se guridad e n Sis te m as Ope rativo s
TEMA 2 – Id e as clave 32
Se guridad e n Sis te m as Ope rativo s
Co m p ro b a r cu e n ta s d e u s u a rio s
Para obten er la lista de usuarios del sistem a podrás usar el siguien te com an do:
# cat /etc/passwd
Figura 15: Archivo / etc/ passwd con los usuarios del sistem a
En la an terior im agen se ve com o lín ea a lín ea se describen los usuarios del sistem a con
los diferen tes UID o la carpeta HOME de cada un o de ellos. Debian defin e en su
docum en tación , los siguien tes usuarios por defecto:
root: es el superusuario.
daem on : algun os dem onios (procesos) sin privilegios, n ecesitan escribir en archivos
del disco utilizan este usuario. Dem on ios com o portm ap, atd, etc, usan este usuario.
Otros dem on ios que no n ecesitan acceso a archivos usan el usuario “n obody”,
“n ogroup” o usan un usuario específico.
bin : este usuario se m an tien e por razon es históricas.
sys: al igual que el usuario bin .
syn c: se usa con el com an do syn c.
gam es: m uchos juegos usan este usuario para poder escribir su “high score”.
m an : el program a “m an ” usa este usuario para que puedan escribir las págin as del
m an ual en el disco duro (/ var/ cache/ m an ).
lp: usado por los dem onios de las im presoras.
TEMA 2 – Id e as clave 33
Se guridad e n Sis te m as Ope rativo s
m ail: los clien tes de correo electrón ico del sistem a, usa el usuario y grupo m ail para
escribir en / var/ m ail. Varios servicios de correo electrón ico tam bién usa este
usuario por otras razon es.
n ews: varios servidores de n oticias y otros program as asociados a estos, usan este
usuario y grupo.
uucp: este usuario y su grupo, son usados por el subsistem a del protocolo UUCP.
Los usuarios en este grupo pueden utilizar el com an do uucico.
proxy: los dem on ios proxy que n o tien en un usuario dedicado usan este usuario. Los
proxies pdnsd y squid usan este usuario.
m ajordom : m ajordom o tien e este usuario por m otivos históricos. No se in stala en
sistem as n uevos.
postgres: postgresql usa este usuario y grupo. Los archivos en / var/ lib/ postgresql
perten ecen a este usuario.
www-data: algun os servidores web usan este usuario. Se usa al escribir en sus
ficheros log o cualquier inform ación escrita en el disco duro. H ay que ten er en
cuen ta que el con ten ido web n o debería perten ecer a este usuario o el servidor web
podría m odificarlo.
backup: se puede asign ar al en cargado del backup del Sistem a.
operator: históricam en te es el usuario que puede con ectarse rem otam en te sin
depen der de NIS/ NFS.
list: los archivos y datos de las listas de correo perten ecen a este usuario. Algun os
program as asociados tam bién usan este usuario.
irc: usado por dem on ios IRC.
gn ats: usado por el servicio de con trol de errores de GNU.
n obody (usuario), n ogroup (grupo): dem on ios que n o n ecesitan archivos usan este
usuario/ grupo. Nin gún archivo del sistem a debería perten ecer a este usuario/ grupo.
Se ha evaluado, que si n o se usan las fun cion es asociadas, se pueden borrar los
usuarios: proxy, www-data, list, irc, gn ats, uucp, n ews y lp.
Por otro lado, hay que verificar y bloquear los accesos a la Shell a los usuarios cuya
clave estuviera vacía.
TEMA 2 – Id e as clave 34
Se guridad e n Sis te m as Ope rativo s
Si la orden an terior ha m ostrado algun a lín ea, habrá que bloquear el usuario
correspon dien te.
En el sistem a existe el U ID , un n úm ero asign ado a cada usuario y que se alm acen a
jun to a la lista de usuarios en el fichero / etc/ passwd. El U ID con valor 0 (cero) es el
asign ado a la cuen ta r o o t .
Es im portan te com probar que n o existen dos con un U ID igual a 0 (cero). Para ello
ejecutar el siguien te com an do:
# awk -F: '($3 == "0") {print}' /etc/passwd
Tam bién ten drem os que ten er en cuen ta el crear un grupo ún ico por cada usuario
n uevo que creem os. Por defecto, el com an do “useradd” crea un grupo con el n om bre
igual al usuario. Por esto, con el com an do “useradd” n un ca deberem os usar la opción
“-g” y usar el fun cion am ien to por defecto del com an do.
Op cio n e s d e m o n ta je d e fich e ro s
TEMA 2 – Id e as clave 35
Se guridad e n Sis te m as Ope rativo s
Figura 16: Archivo / etc/ fstab con la configuración de las particiones por defecto
En la prim era lín ea de la an terior im agen , se puede ver que la partición raíz “/ ” tien e la
opción de m on taje “errors=remount-ro”, que el CD ROM tien e u s e r y n o a u t o y que
el resto de pun tos de m on taje tien en la opción “defaults”. H ay que ten er en cuen ta
que las lín eas que em piezan por alm ohadilla (“#”) son lín eas com en tadas.
1. Asign ar la opción “nodev” a las particion es distin tas a la raíz del sistem a “/”. De
esta m an era evitam os que, pese a crearse nodos de dispositivos den tro de la
partición , no puedan tratarse com o tales y m on tar otros dispositivos den tro de estos.
De esta m an era n o podrem os crear y ut ilizar un pun to de m on taje den tro de /home.
2. Asign ar la opción “nosuid” a las particion es distintas a la raíz del sistem a “/”.
S U ID (Se t own er U s e r ID up on execution ) es un tipo especial de perm iso de los
ejecutables que perm ite al usuario que lo ejecuta, ejecutarlo com o su usuario
propietario (Suele ser m uy peligroso). Las particion es con la opción “nosuid” no
podrán tener ficheros S U ID y así evitam os que los posibles problem as de un a
aplicación afecten al sistem a.
3. Asign ar las opcion es “nodev”, “nosuid” y “noexec” a las particion es de m edios
extraíbles com o CDs. De esta m an era evitam os cualquier ejecución desde m edios
extern os al sistem a.
TEMA 2 – Id e as clave 36
Se guridad e n Sis te m as Ope rativo s
En la siguien te captura de pan talla puedes ver el estado de la configuración del fichero
/etc/fstab:
Figura 17: Archivo / etc/ fstab con la configuración de las particiones m odificado
Tam bién se puede evitar el m on taje de discos a través del U S B al añ adir al fin al del
fichero / e t c / m o d p r o b e .d / b la c k lis t .c o n f la siguien te lín ea:
blacklist usb-storage
2.8 . Proxies
Los proxies son un pun to de con exión en tre un orden ador y un sitio rem oto de In tern et.
Ofrecen un filtro m edian te el cual, perm ite con exion es extern as a la red. Un a VPN es
un tipo de proxy em presarial que cifra la con exión a la vez de que n os deja acceder a la
red in tern a de un a em presa u organ ización .
TEMA 2 – Id e as clave 37
Se guridad e n Sis te m as Ope rativo s
Restrin gir que todos los usuarios en tren a ciertas zon as de la red.
Evitar los ataques a n ivel de protocolo o aplicación desde el exterior.
Perm itir/ den egar el acceso a In tern et de los usuarios de la red.
Evitar la divulgación de datos person ales dese el exterior de la red.
S q u id
Debido al gran crecim ien to que ha ten ido Intern et en estos últim os añ os, se hace
n ecesario la replicación para tran sm itir págin as web de m an era m ás rápida y
econ óm ica. Un a solución a esto puede ser los servidores proxy basados en S q u id , los
cuales son un in term ediario en tre el clien te e In tern et. Los clien tes m an dan su petición
al servidor proxy y este tram ita la petición a In tern et o le respon de con el objeto si se
en cuen tra alm acen ado en su m em oria caché (debido a un a petición sim ilar an terior).
TEMA 2 – Id e as clave 38
Se guridad e n Sis te m as Ope rativo s
Squid es un tipo de Proxy Caché que puede term in ar com o servidor interm edio y com o
caché del con ten ido web. Adm ite protocolos H TTP, H TTPS, FTP, WWCP, WAIS,
Gopher, etc.
Alm acen a en m em oria RAM los objetos m ás frecuen tes y sus m etadatos.
Cachear las con sultas DNS.
Im plem en ta políticas de con trol de acceso.
Soporta conexion es SSL.
Puede reescribir con sultas.
Perm ite el protocolo SNMP.
In s ta la ció n d e S q u id
Para poder acceder a Intern et, S q u id puede den egar o perm itir acceso basán dose en
dirección IP y usuario que dem an da el servicio. Co n tro la r e l a cce s o a In te rn e t
vien e m uy bien por ejem plo, en la oficin a de los cen tros de estudio.
Para probar un ejem plo de form a sen cilla, vam os a utilizar el m ódulo N CS A, que utiliza
un archivo de texto sim ple creado con h tp a s s w d .
TEMA 2 – Id e as clave 39
Se guridad e n Sis te m as Ope rativo s
3. Ajustam os los perm isos para que solam en te S q u id ten ga perm isos de lectura y
escritura
# chmod 600 /etc/squid/usrpass
# chown proxy:proxy /etc/squid/surpass
Em pezarem os a añ adir usuarios. Hay que ten er en cuen ta que todos los usuarios
creados son in depen dien tes de los usuarios del sistem a. Para añ adir usuarios
usarem os h tp a s s w d :
# htpasswd /etc/squid/usrpass valentin
4. Descom entar y editar del archivo /etc/squid/squid.conf, la línea que em pieza por:
“#auth_param basic program” por la siguiente línea:
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/usrpass
Y añadirem os la línea:
acl password proxy_auth REQUIRED
TEMA 2 – Id e as clave 40
Se guridad e n Sis te m as Ope rativo s
TEMA 2 – Id e as clave 41
Se guridad e n Sis te m as Ope rativo s
Lo con figurado hasta ahora, con la n ueva lín ea, ten dría un aspecto parecido a este:
# Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localnet dst 127.0.0.1/8 0.0.0.0/32
acl password proxy_auth REQUIRED
acl restric-exp-reg url_regex “/etc/squid/restric-exp-reg”
TEMA 2 – Id e as clave 42
Se guridad e n Sis te m as Ope rativo s
1. Crearem os un archivo con los dom in ios a restrin gir. En el siguiente com ando,
usarem os el editor nano para crear y editar el fichero:
# nano /etc/squid/restric-dominios
2. Al archivo creado añadirem os los dom inios o extensiones web que considerem os
com o inadecuados. Por ejem plo:
www.hotmail.com
.facebook.com
www.juegos.com
.co.uk
.fr
Lo configurado hasta ahora, con la nueva línea, tendría un aspecto parecido a este:
#
# Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localnet dst 127.0.0.1/8 0.0.0.0/32
acl password proxy_auth REQUIRED
acl restric-exp-reg url_regex “/etc/squid/restric-exp-reg”
acl restric-dominios dstdomain “/etc/squid/restric-dominios”
TEMA 2 – Id e as clave 43
Se guridad e n Sis te m as Ope rativo s
5. Term inarem os aplicando los cam bios en el archivo / e tc/ s qu id / s qu id .co n f con la
siguiente línea:
# service squid reload
Es posible que las restricciones de acceso anteriores no dejen acceso a páginas que
consideram os válidas. Por esto podrem os elegir una serie de d o m in io s p e rm itid o s .
Estos serían los pasos:
1. Crearem os un archivo con los dom inios perm itidos. En el siguiente com ando,
usarem os el editor nano para crear y editar el fichero:
# nano /etc/squid/permit-dominios
2. Al archivo creado añadirem os los dom inios o extensiones web que considerem os
com o inadecuados. Por ejem plo:
.google.co.uk
.bbc.co.uk
www.juegos.com/ejemplo.html
.edu
.gov
.org
Lo configurado hasta ahora, con la nueva línea, tendría un aspecto parecido a este:
#
# Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localnet dst 127.0.0.1/8 0.0.0.0/32
acl password proxy_auth REQUIRED
acl restric-exp-reg url_regex “/etc/squid/restric-exp-reg”
acl restric-dominios dstdomain “/etc/squid/restric-dominios”
acl permit-dominios dstdomain “/etc/squid/permit-dominios”
TEMA 2 – Id e as clave 44
Se guridad e n Sis te m as Ope rativo s
5. Term inarem os aplicando los cam bios en el archivo / e tc/ s qu id / s qu id .co n f con la
siguiente línea:
# service squid reload
Seguirem os con el procedim ien to de crear un fichero con los filtros, declararlo y usarlo
en el archivo de con figuración de S q u id / e tc/ s q u id / s q u id .co n f. Estos serían los
pasos en detalle:
1. Crearem os un archivo con las exten sion es que n o perm itirem os. En el siguien te
com an do, usarem os el editor n an o para crear y editar el fichero:
# nano /etc/squid/restrict-extensiones
2. Al archivo creado añ adirem os exten sion es de archivos que n o perm itirem os del
siguien te m odo:
\.mp4$
\.mp3$
\.mpg$
\.mpeg$
\.wma$
\.wmv$
\.wav$
\.bat$
\.exe$
TEMA 2 – Id e as clave 45
Se guridad e n Sis te m as Ope rativo s
Lo con figurado hasta ahora, con la n ueva lín ea, ten dría un aspecto parecido a:
#
# Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localnet dst 127.0.0.1/8 0.0.0.0/32
acl password proxy_auth REQUIRED
acl restric-exp-reg url_regex “/etc/squid/restric-exp-reg”
acl restric-dominios dstdomain “/etc/squid/restric-dominios”
acl permit-dominios dstdomain “/etc/squid/permit-dominios”
acl restrict-extensiones urlpath_regex “/etc/squid/restrict-
extensiones”
5. Term in arem os aplican do los cam bios en el archivo / e tc/ s q u id / s q u id .co n f con la
siguien te lín ea:
# service squid reload
TEMA 2 – Id e as clave 46
Se guridad e n Sis te m as Ope rativo s
En el siguiente ejem plo, vam os a definir y aplicar una regla que da perm iso a las
conexiones los lunes, m artes, m iércoles, jueves y viernes, desde las 8 :30 a 19:30 en la red
local.
S - Dom in go
M - Lun es
T - Martes
W - Miércoles
H - J ueves
F - Viern es
A – Sábado
0 8 :30 -19:30 : horario desde las 0 8 :30 hasta las 19:30
http_access, es un com an do que ya hem os usado an tes y que aplica la regla según sus
parám etros.
allow, cuyo posibles valores serían allow (perm itir), den y (n o perm itir)
entre_semana, n om bre declarado en el ejem plo an terior
localnet, ám bito de la red en el que se aplica. En este caso sería la red local.
Median te las d ire ccio n e s MAC se iden tifica de form a única un a tarjeta o dispositivo
de red. Si bloqueam os o perm itim os acceso a ciertas d ire ccio n e s MAC estarem os
evitan do que ciertos orden adores puedan con ectarse para re a liza r d a ñ o s en la red.
Un ejem plo útil sería el em pleado que ha sido despedido y deja un orden ador libre.
TEMA 2 – Id e as clave 47
Se guridad e n Sis te m as Ope rativo s
Las direccion es MAC con sisten en un iden tificador de 48 bits expresada con 12 dígitos
hexadecim ales. De estos 12 dígitos, los 6 prim eros correspon den al vendedor y los otros
6 dígitos correspon den al n úm ero de serie que el ven dedor pon e al dispositivo de red.
En los siguien tes pasos vam os a configurar la restricción de acceso a la red usan do las
direccion es MAC:
1. Con seguim os las direccion es MAC en n uestra red, de los orden adores que querem os
aplicar la regla. En Win dows se usa el com an do ip co n fig y en Lin ux se utiliza el
com an do ifco n fig, para ver la dirección MAC del equipo en el que n os en con tram os.
TEMA 2 – Id e as clave 48
Se guridad e n Sis te m as Ope rativo s
2. Crearem os un archivo don de vayam os a poner las direccion es MAC a las que
aplicarem os la regla.
# nano /etc/squid/permit-mac-direcciones
Ten drem os que editar su con ten ido con las direccion es MAC para las que querem os
aplicar la regla.
00:14:22:41:9C:8A
00:04:DC:84:18:AD
00:40:96:AA:2D:BB
00:30:BD:9D:CD:77
En /etc/squid/squid.conf se deben ten er con figurado los siguien tes pun tos:
http_port, que especifica el puerto por el que se com un ica con el proxy, por
ejem plo:
http_port 1891 transparent
TEMA 2 – Id e as clave 49
Se guridad e n Sis te m as Ope rativo s
W P AD
3. Tendrem os que tener abierto el puerto 80 TCP y el resto de los puertos que pudieran
estar involucrados.
iptables -A INPUT -s 192.168.1.2 -m state --state NEW \ -m tcp -p tcp -
-dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.1.2 -m state --state NEW \ -m tcp -p tcp -
-dport 3128 -j ACCEPT
TEMA 2 – Id e as clave 50
Se guridad e n Sis te m as Ope rativo s
8. Crearem os otro archivo / etc/ apache2/ conf.d/ wpad.conf con el siguiente contenido:
NameVirtualHost *:80
<VirtualHost *:80>
ServerName wpad.red-local.net
ServerAlias wpad
DocumentRoot /var/www/wpad
ErrorLog logs/wpad-error_log
CustomLog logs/wpad-access_log combined
<Directory "/var/www/wpad">
AddType application/x-ns-proxy-autoconfig .dat
DirectoryIndex wpad.dat
Order Deny,Allow
Deny from all
Allow from 127.0.0.0/8 192.168.1.2
</Directory>
</VirtualHost>
9. Recargam os el servicio:
service apache2 reload
TEMA 2 – Id e as clave 51
Se guridad e n Sis te m as Ope rativo s
S ARG
Con la herram ienta SARG (Squid Analysis Report Generator) se perm ite ver con detalle
la activid a d d e to d o s lo s e qu ip o s y usuarios de una red local usando los inform es de
las bitácoras (logs) de Squ id .
1. Busca y m odifica las líneas output_ dir, access_ log, date_ form at, overwrite_ report en
el fichero / etc/ sarg/ sarg.conf. Para que queden de la siguiente form a:
access_log /var/log/squid/access.log
output_dir /var/www/sarg
date_format e
overwrite_report yes
De esta m anera, decim os que el log que querem os acceder con la herram ienta SARG
es /var/log/squid/access.log, que el directorio donde se generarán los inform es
será /var/www/sarg (si no existe el directorio, habrá que crearlo), el form ato de la
fecha (‘dd/ m m / yy‘) que se usará y si sobrescribim os inform es ya generados.
3. Irem os a la URL http:/ / <ip-m áquina-linux>/ sarg y verem os una pantalla parecida a
la siguiente:
TEMA 2 – Id e as clave 52
Se guridad e n Sis te m as Ope rativo s
Prin cip io s d e lo s ID S
Existen dos tipos de sistem as de iden tificación de in trusos (ID S): los basados en h o s t
(H o s t ID S) y los basados en re d (N ID S ).
Trip w ire , AID E, Fch e ck son algun as de estas herram ien tas. Trip w ire es la
herram ien ta m ás m adura pero es un softw are con licen cia, AID E es libre pero es
m ucho m ás joven que Trip w ire , y Fch e ck es rápido y gratuito, pero puede n o
satisfacer a un a gran organ ización con altas n ecesidades de seguridad.
Por otro lado, existe S n o rt que es un a poten te herram ien ta que sirve com o s n iffe r de
paquetes, re gis tra d o r de paquetes y N ID S person alizable con un a librería de ataques
firm ados y un m otor de con figuración para reglas de usuario.
U tilizar S N ORT co m o ID S
Para la con figuración de Sn ort se deben de an alizar y m odificar, según las n ecesidades,
las distintas partes del fichero ‘s n o rt.co n f’: Defin ición de variables, sen ten cias de pre
proceso, senten cias de salida (postproceso) y reglas.
TEMA 2 – Id e as clave 53
Se guridad e n Sis te m as Ope rativo s
Lo + r ecom en d a d o
Lecciones m agistrales
Po rt Kn o c kin g
No dejes de leer…
H o s t b a s tió n Lin u x
TEMA 2 – Lo + re co m e n d ad o 54
Se guridad e n Sis te m as Ope rativo s
H acke rs e n Lin u x
VV. AA. (20 0 8). La Biblia de Adm inistración de sistem as Linux. Madrid: Grupo Anaya.
Ad m in is tració n d e s is te m as Lin u x
VV. AA. (20 0 9). Adm inistración de sistem as Linux. Madrid: Grupo Anaya.
TEMA 2 – Lo + re co m e n d ad o 55
Se guridad e n Sis te m as Ope rativo s
Co rtafu e go s
TEMA 2 – Lo + re co m e n d ad o 56
Se guridad e n Sis te m as Ope rativo s
Lin u x
TEMA 2 – Lo + re co m e n d ad o 57
Se guridad e n Sis te m as Ope rativo s
+ I n for m a ción
A fondo
S e cu rin g D e b ia n Ma n u a l
Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http:/ / www.debian.org/ doc/ m anuals/ securing-debian-howto/ securing-debian-
howto.en.pdf
W D AP
Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http:/ / www.web-cache.com / Writings/ In tern et-Drafts/ draft-ietf-wrec-wpad-0 1.txt
S ARG
La siguien te págin a, con tien e publicado el proyecto S ARG para gen erar inform es de
ficheros los ficheros log de S q u id .
Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http:/ / sarg.sourceforge.n et/ .
TEMA 2 – + In fo rm ació n 58
Se guridad e n Sis te m as Ope rativo s
Webgrafía
Op e n s o u rce
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / sourceforge.net/
GPL
Página web de GPL, donde podem os encontrar los térm inos y condiciones de GPL.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.gnu.org/ copyleft/ gpl.htm l
Ke rn e l
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.kernel.org/
TEMA 2 – + In fo rm ació n 59
Se guridad e n Sis te m as Ope rativo s
U bu n tu
Página web del sistem a operativo Ubuntu, donde podem os descargar el sistem a
operativo y docum entación relacionada.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.ubuntu.com
D e bian
Página web del sistem a operativo Debian, donde podem os descargar el sistem a operativo
y docum entación relacionada.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.debian.org
Re d H at
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.redhat.com
TEMA 2 – + In fo rm ació n 60
Se guridad e n Sis te m as Ope rativo s
Op e n Su s e
Página web del sistem a operativo Suse, donde podem os descargar el sistem a operativo y
docum entación relacionada.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.opensuse.org/
Slackw are
Página web del sistem a operativo Slackware, donde podem os descargar el sistem a
operativo y docum entación relacionada.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.slackware.com
TEMA 2 – + In fo rm ació n 61
Se guridad e n Sis te m as Ope rativo s
Sp am as s as s in
Página web de Spam assassin, herram ien ta para bloquear los correos spam .
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.spam assassin.org/
GN U PG
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.gnupg.org/
Ch r o o t kit
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.chkrootkit.org/
TEMA 2 – + In fo rm ació n 62
Se guridad e n Sis te m as Ope rativo s
Sn o rt
Página web de Snort, donde poder descargar la popular herram ienta IDS.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.snort.org
Squ id
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.squid.org
Ip t a b le s ( N e tfilte r)
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.netfilter.org/
TEMA 2 – + In fo rm ació n 63
Se guridad e n Sis te m as Ope rativo s
Bacu la
Página web de Bacula, donde poder descargar la popular herram ienta de backup, adem ás
de docum entación relacionada.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / blog.bacula.org/
Re d H a t En te rp ris e Lin u x 7
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https:/ / access.redhat.com / docum en tation / en -
US/ Red_ H at_ Enterprise_ Linux/ 7/ htm l/ Security_ Guide/ index.htm l
Virtu a lB o x
Desde la págin a de VirtualBox se puede descargar esta aplicación de m áquin as virtuales
gratuitas.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https:/ / www.virtualbox.org/
TEMA 2 – + In fo rm ació n 64
Se guridad e n Sis te m as Ope rativo s
Op e n LD AP
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.open ldap.org/
TEMA 2 – + In fo rm ació n 65
Se guridad e n Sis te m as Ope rativo s
S h o re w a ll
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.shorewall.n et
U FW
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https:/ / launchpad.n et/ ufw
Alca n ce lib re
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.alcan celibre.org/
TEMA 2 – + In fo rm ació n 66
Se guridad e n Sis te m as Ope rativo s
Act ivid a d es
Trabajo: Iptables
D e s crip ció n
¿Cóm o cream os una cadena que defina nuestras reglas que se llam e servidor?
¿Cóm o hacem os para que todos los paquetes de entrada (INPUT) vayan hacia la
cadena servidor?
¿Cóm o hacem os que se rechacen todos los paquetes icm p-host-unreachable?
¿Cóm o m ostram os las reglas que nuestro servidor tiene configurado?
¿Cóm o borram os la regla que acabam os de añadir?
Antes rechazábam os los paquetes ¿Cóm o hacem os ahora para que los descarte?
¿Qué diferencia existe a com o lo teníam os antes?
¿Cóm o podem os guardar las reglas?
Inserta encim a de la últim a regla que acabam os de crear para que se registren en el
log (/ var/ log/ m essages).
¿Qué hacem os para que nuestra m áquina si pueda conectarse a sí m ism a al puerto
25?
Querem os hacer una regla que nos perm ita la conexión al SSH. ¿Cóm o lo hacem os?
¿Querem os que el ping funcione desde cualquier m áquina de la red?
¿Cóm o com probam os que funciona guardam os la configuración?
¿Querem os hacer lo m ism o pero para el servicio de Sam ba?
¿Querem os que los usuarios puedan conectarse a nuestra web?
¿Querem os hacer que todo el tráfico que llegue al puerto 8 0 se redirija al puerto
80 8 0 ?
¿Cóm o hacem os para que todas las conexiones desde nuestro ordenador al puerto 8 0
sean rechazadas?
Nos hem os confundido y solo querem os que los paquetes sean rechazados si van a
cualquier m áquina que no sea de la red. Corrígelo.
Ahora querem os rechazar aquellas IPs que no pertenezca a la red local. ¿Qué sentencia
debes ejecutar de Iptables?
TEMA 2 – Activid ad e s 67
Se guridad e n Sis te m as Ope rativo s
Trabajo: Squid
D e s crip ció n
Querem os m ontar un servidor proxy para evitar que naveguen por sus correos personales
de gm ail.com , hotm ail.com , yahoo.com . Que prohíba cualquier página que contenga las
palabras: «Sexo», «pornografía» y «desnudos». Adem ás querem os que no puedan
conectarse de 8 a 10 de la m añana, que cuando m ayor rendim iento y exigencia se les pide
en la em presa. Querem os que se guarde los logs en un fichero que se llam e m ensajes.log.
Explica paso a paso y detalladam ente cóm o se ha realizado dicho procedim iento, adem ás
será necesario que se incluyan im ágenes (com o capturas de pantalla) y se ponga el
nom bre del alum no en ellas (para confirm ar su autoría). Tam bién será necesario que se
incluya un índice del trabajo y una webgrafía o bibliografía de las páginas web o libros
utilizados para realizar la actividad.
Grub
D e s crip ció n
Configura Grub de form a segura para que se im pida cam biar la configuración de
arranque sin una contraseña.
Explica paso a paso y detalladam ente cóm o se ha realizado dicho procedim iento, adem ás
será necesario que se incluyan im ágenes (com o capturas de pantalla) y se ponga el
nom bre del alum no en ellas (para confirm ar su autoría). Tam bién será necesario que se
incluya un índice del trabajo y una webgrafía o bibliografía de las páginas web o libros
utilizados para realizar la actividad.
TEMA 2 – Activid ad e s 68
Se guridad e n Sis te m as Ope rativo s
Test
TEMA 2 – Te s t 69
Se guridad e n Sis te m as Ope rativo s
TEMA 2 – Te s t 70
Se guridad e n Sis te m as Ope rativo s
TEMA 2 – Te s t 71
Otros sistem as
[3.1] ¿Cóm o estudiar este tem a?
T E M A
Otros sistem as operativos
Esq u em a
TEMA 3 – Es qu e m a
Se gu rid ad p o r acce s o fís ico An d ro id : In tro d u cció n :
• Arquitectura
• Qué es y en qué consiste
• Actualización de Android
• La Sandbox
Tip o s d e virtu alizació n
Se gu rid a d en e l in ic io del • Protección contra el acceso
s is te m a físico
2
• Seguridad a nivel de aplicación
Ve n tajas y d e s ve n tajas
iOS:
Se gu rid a d en las
• Arquitectura
p re fe re n cias : So ft w a r e d e virtu alizació n
• Actualización de iOS
• iCloud, Cuentas y usuarios…
• La Sandbox
• Protección contra el acceso
Se gu rid ad e n las u tilid ad e s : Se gu rid a d en s is te m as
físico
• Llaveros, utilidad de discos… virtu ale s
• Seguridad a nivel de aplicación
Se guridad e n Sis te m as Ope rativo s
Se guridad e n Sis te m as Ope rativo s
I d ea s cla ve
En prim er lugar verem os los sistem as operativos Mac OS X, en los que nos centrarem os
en:
Después tratarem os el tem a de los dispositivos m óviles, pues son un sistem a operativo
que llevam os en el bolsillo a todas partes y es im portante securizarlo. Verem os los dos
principales sistem as para m óviles: Android e iOS.
Com enzarem os con Android y seguirem os con iOS. Los puntos que se irán viendo, entre
otros, son:
La arquitectura de seguridad.
Las funciones principales de protección de acceso físico.
Las Sandbox.
El cifrado del dispositivo.
Gestión em presarial de los dispositivos.
La seguridad en las aplicaciones.
Los m odos root (Android) o jailbreak (iOS).
TEMA 3 – Id e as clave 3
Se guridad e n Sis te m as Ope rativo s
3.2. Mac OS X
Los servicios de seguridad del sistem a operativo OS X están basado en dos estándares
de código abierto: BSD (Berkeley Softw are Distribution) y CD SA (Com m on Data
Security Architecture). BSD es un tipo de sistem a operativo U N IX que incluye servicios
fundam entales com o el sistem a de archivos y los perm isos de acceso a archivos. CD SA
es una serie de servicios de seguridad por capas y una fram ework de criptografía que
provee una infraestructura m ultiplataform a. Por ejem plo provee una serie de perm isos
de acceso, m ás específicos o un alm acenam iento seguro. Por defecto MAC OS está
TEMA 3 – Id e as clave 4
Se guridad e n Sis te m as Ope rativo s
pensado para que sea seguro, aun así se pueden hacer m ejoras en su configuración por
defecto que irem os viendo en este docum ento.
La seguridad en OS X se efectúa por capas. Cada una de ellas utiliza diferentes servicios
del sistem a para que este se m antenga seguro.
TEMA 3 – Id e as clave 5
Se guridad e n Sis te m as Ope rativo s
Todos los ejem plos m ostrados en este docum en to se han probado sobre la versión de
MAC OS X 10 .6 S n o w Le o p a rd . En version es posteriores puede ser que algun os
aspectos técn icos o de con figuración sean diferen tes. Esto n o sign ifica que n o se puedan
adaptar, de hecho, duran te el docum en to se hacen referen cias a posibles variacion es
pero no se hacen en detalle.
En el caso de que alguien pudiera acceder físicam ente, la parte del hardw are m ás
sensible es el disco duro pues contiene todos nuestros datos, cualquier persona con
acceso físico ilim itado a esta parte del hardw are podría hacer funcionar dicho sistem a
en otra m áquina. Por esto m edidas com o la File Vau lt sobre el cifrado de nuestros datos,
que verem os m ás adelante, pueden evitar que aunque caiga en m anos ajenas nuestros
datos sigan seguros.
Por esto m ism o, m antén protegido tu ordenador en arm arios preparados al efecto,
escóndelo si ya no lo usas, no lo dejes en lugares donde pueda ser robado, destruye el
disco duro (a m artillazos si es posible) si lo vas a tirar.
Específicam ente, en Mac OS X se pueden realizar otras tareas que evitarían un acceso
físico.
TEMA 3 – Id e as clave 6
Se guridad e n Sis te m as Ope rativo s
H a r d w a r e in s e gu ro
El wifi, por ejem plo es potencialm ente un hardw are de riesgo en nuestros ordenadores.
Cualquiera con el softw are adecuado y algo de tiem po, podría saber qué datos enviam os
entre el ordenador e internet o incluso m eterse en nuestros ordenadores. Del m ism o
m odo podrían ser inseguros nuestros dispositivos Bluetooth. Pese a que todas estas
tecnologías llevan consigo form as de proteger las com unicaciones, se debería
deshabilitar todo hardw are inalám brico que no se esté utilizando. Tam poco es seguro el
uso indebido de los puertos de nuestro ordenador.
Deshabilitar el hardw are que consideram os potencialm ente inseguro, se podría hacer
de form a m anual pero lo tendría que hacer un técnico de Apple. Por otro lado, si lo
hacem os nosotros físicam ente, perderem os la garantía de Apple. Una m anera alternativa
sería la elim inación de las extensiones del kernel para cierto hardw are.
# Elim in ar las exten siones del kern el AppleAirport. (soporte para Wifi)
sudo srm -r /System/Library/Extensions/IO80211Family.kext
TEMA 3 – Id e as clave 7
Se guridad e n Sis te m as Ope rativo s
# Elim in ar las exten siones del kern el para USB (alm acen am ien to m asivo).
sudo srm -rf /System/Library/Extensions/IOUSBMassStorageClass.kext
Fin alm en te rein iciarem os el sistem a para que se realicen todos los cam bios.
Hay que tener en cuenta, que cada vez que el ordenador se actualice, es probable que
algunas de estas extensiones que hem os elim inado, vuelvan a aparecer. Tendrem os que
elim inar dichas extensiones cada vez que actualicem os si decidim os este m étodo de
deshabilitar com ponentes del sistem a.
Se gu rid ad e n e l in icio d e l s is te m a
Cuando el ordenador se inicia, lo prim ero que se ejecuta es el Exte n s ible Firm w a re
In te rface (EFI). El EFI determ ina de qué partición cargar el sistem a operativo OS X.
Tam bién determ ina si el usuario puede entrar en el m odo single-user.
El m odo s in gle -u s e r arranca el sistem a com o usuario r o o t (súper usuario) para casos
de restauración del sistem a. Esto es m uy peligroso pues este usuario tiene todos los
perm isos del sistem a y sus acciones se realizan de form a anónim a.
Será im portante crear una clave para proteger el EFI, para proteger la entrada en m odo
single-user, y para proteger la carga de sistem as que se encuentren en otras particiones
o discos externos com o CD -ROOM o U SB.
TEMA 3 – Id e as clave 8
Se guridad e n Sis te m as Ope rativo s
Para llegar a la Utilidad de la Contraseña de Firm ware desde Snow Leopard puedes ir a
Aplicaciones > Utilidades y seleccionar “Utilidad Contraseña Firmware”.
S e gu rid a d e n la s p re fe re n cia s d e l s is te m a
Mediante las preferencias del sistem a se pueden se pueden cam biar aspectos de
seguridad.
TEMA 3 – Id e as clave 9
Se guridad e n Sis te m as Ope rativo s
TEMA 3 – Id e as clave 10
Se guridad e n Sis te m as Ope rativo s
Tras hacer clic en el candado nos pedirá la contraseña de súper usuario y el candado se
abrirá dejándonos m odificar las opciones descritas.
Estos aspectos de seguridad tam bién pueden ser m odificados usando el Workgroup
Manager. Mediante esta herram ienta se pueden m anejar usuarios, grupos y
ordenadores. El Workgroup Manager trabaja directam ente con el directorio de dom inio.
iClo u d
Mo bile Me fue una serie de herram ientas para la sincronización de datos en Internet
soportada hasta 20 11, cuando fue sustituida por iClo u d . Mo bile Me ya no existe y
iClo u d no está soportada por Sn o w Le o p ard (OS X 10 .6) y no será soportada hasta la
siguiente versión Lio n (OS X 10 .7.5). iClo u d , no es m ás que la idea extendida de
Mo bile Me .
TEMA 3 – Id e as clave 11
Se guridad e n Sis te m as Ope rativo s
Hoy en día hay m uchos servicios en la nube, que sincronizan los datos de tus contactos,
calendario, notas, configuración, etc. y nuestro OS X puede estar configurado con estos
servicios.
Pese a que la com unicación iClo u d u otro de estos servicios en la nube, está realizada
m ediante protocolos m uy seguros, es m ucho m ás seguro que los datos sensibles se
m antengan en una red interna. En los casos donde se contengan datos especialm ente
sensibles, deberíam os de cortar cualquier com unicación con la nube y cifrar dichos datos.
Si ya tenem os los servicios de iCloud dados de alta o bien no lo sabem os, irem os a
Preferencias del sistem a > iClo u d . Una vez allí haz clic en «Cerrar sesión».
TEMA 3 – Id e as clave 12
Se guridad e n Sis te m as Ope rativo s
Tam bién podrem os ir a Preferencias del sistem a > Correo Contactos y calendario,
donde irem os desactivando servicios de iClo u d u otros servicios de otras nubes que
tengam os instalados.
Cu e n ta s d e U s u a rio
Para hacer cam bios en las cuentas de usuario ve a Preferencias del Sistem a > Cu e n t a s .
En versiones posteriores del sistem a operativo se llam a U s u ario s y Gru p o s .
TEMA 3 – Id e as clave 13
Se guridad e n Sis te m as Ope rativo s
TEMA 3 – Id e as clave 14
Se guridad e n Sis te m as Ope rativo s
Tam bién deberem os considerar una contraseña m ás adecuada. Para ello, tanto en la
creación de un nuevo usuario o en su cam bio de contraseña, OS X nos podrá ayudar.
Podrem os ver una llave al lado del cuadro de texto donde introducim os la contraseña. Si
hacem os clic en dicha llave, se nos abrirá una ventana con diferentes opciones para hacer
una contraseña m ás segura teniendo en cuenta factores de longitud, tipo y la valoración
de su calidad.
Según el tipo de usuario que se utilice se podrá evitar que se m odifiquen unas opciones
u otras de dentro de las preferencias del sistem a.
TEMA 3 – Id e as clave 15
Se guridad e n Sis te m as Ope rativo s
CD y D VD
Para securizar los CD y DVD tendrem os que evitar que se realicen acciones autom áticas
cuando estos se insertan en el ordenador. Para su configuración irem os a Preferencias
del sistem a > CD y DVD. Una vez allí tendrem os que establecer todas las acciones a
“Ignorar”.
TEMA 3 – Id e as clave 16
Se guridad e n Sis te m as Ope rativo s
Fe ch a y h o ra
TEMA 3 – Id e as clave 17
Se guridad e n Sis te m as Ope rativo s
Ve a Preferencias del sistem a > Es cr it o r io y s a lv a p a n t a lla s . Una vez allí, hacer clic
sobre la «pestaña» salvapantallas.
TEMA 3 – Id e as clave 18
Se guridad e n Sis te m as Ope rativo s
Co m p a rtir re cu rs o s
Existen una serie de servicios que com parten recursos del sistem a con otros usuarios. De
esta m anera se pueden com partir DVDs, archivos, el escáner o acceso rem oto al sistem a.
Técnicam ente existen los siguientes servicios:
Pan talla co m p artid a . La pantalla com partida utiliza VNC (virtual network
com puting). Perm ite a otros usuarios com partir la visualización de tu pantalla y su
uso rem otam ente. La com unicación no está cifrada por lo que solam ente se debe de
utilizar en entornos de red seguros.
Es cá n e r co m p a rtid o . Perm ite el uso rem oto de tu escán er com partido.
D VD y CD co m p artid o . Perm ite el uso rem oto de tu unidad de DVD o CD
com partida. Es im portante tener en cuenta que este servicio no cifra los datos que se
trasm iten.
B lu e to o th co m p a rtid o . Perm ite a otros orden adores m edian te Bluetooth,
com partir archivos.
Arch ivo s co m p artid o s . Perm ite com partir archivos con los protocolos AFP (Apple
Filing Protocol), FTP (File Transfer Protocol) y SMP (Server Message Block). No se
debe utilizar el protocolo FTP pues no cifra las com unicaciones.
Lo gin re m o to . Perm ite acceder a tu ordenador de form a rem ota. Se deberá usar SSH
si se habilita.
Es crito rio re m o to . Perm ite el uso del escritorio rem oto de Apple.
Eve n to s re m o to s . Perm ite recibir even tos Apple de otros orden adores.
Por defecto solam ente está activo el Lo gin re m o to y no se recom ienda la activación de
ningún otro servicio com partido a no ser que realm ente se vaya a hacer uso de este
servicio.
En la sección Preferencias del sistem a > Co m p a r t ir , se recom ienda cam biar el nom bre
del sistem a para que sea m ás difícil la identificación. Por defecto, si utilizan datos de
nom bre y apellidos para nom brar la m áquina al com partir recursos.
TEMA 3 – Id e as clave 19
Se guridad e n Sis te m as Ope rativo s
S e gu rid a d Ge n e ra l
TEMA 3 – Id e as clave 20
Se guridad e n Sis te m as Ope rativo s
TEMA 3 – Id e as clave 21
Se guridad e n Sis te m as Ope rativo s
File Va u lt
File Vau lt cifra la inform ación de la carpeta de los usuarios. Utiliza un cifrado de 256-
bit (AES-256). El uso de File Vau lt im plica que, internam ente, los archivos de los
usuarios se m uevan a una im agen de disco que se cifra. Si se elim inan archivos de la
carpeta de un usuario con el File Va u lt activo, el tam año en disco tarda algo de tiem po
en recuperarse. Tras la optim ización de la carpeta será posible el acceso a archivos
rápidam ente.
En versiones posteriores FileVault no solo cifra la carpeta de los usuarios, sino que cifra
todo el disco duro m ediante nuestra contraseña m aestra. Adem ás, cuando se cifra el
disco, crea autom áticam ente una clave de recuperación por si olvidam os la prim era. En
caso de perder am bas, se perderían todos los datos.
TEMA 3 – Id e as clave 22
Se guridad e n Sis te m as Ope rativo s
Fire w a ll
TEMA 3 – Id e as clave 23
Se guridad e n Sis te m as Ope rativo s
El Firewall solo vigila los protocolos TCP y UDP. Esto no se aplica a Apple Talk. Por
defecto, solam ente se perm ite que las aplicaciones firm adas, por autoridades de
certificación reconocidas, puedan establecer com unicaciones a través de internet. De
m anera avanzada se pueden especificar a qué aplicaciones se les perm ite establecer
conexiones.
Se recom ienda tener el Firewall activado y que se bloqueen todas las conexiones
entrantes, perm itiendo solam ente, servicios específicos. OS X 10 .6 Sn o w Le o p ard ,
incluye dos tipos de firewall, el de aplicación y el IPFW .
Por otro lado, se debería activar el m odo en cubierto. Este m odo encubierto evita que el
ordenador responda a m ensajes ICMP. De esta m anera no darem os pistas de la existencia
de nuestro ordenador a posibles atacantes.
TEMA 3 – Id e as clave 24
Se guridad e n Sis te m as Ope rativo s
IPFW2 es un conjunto de reglas que realizan acciones sobre paquetes. Para ver las reglas
aplicadas en cada m om ento se puede ejecutar el siguiente com ando:
# ipfw print
Tras la descarga de las actualizaciones, estas son verificadas m ediante las firm as
realizadas sobre estas. De esta m anera evitam os la instalación de softw are m alicioso y la
integridad de nuestras descargas. Las actualizaciones dependen de la política de em presa
pero nosotros recom endam os que se busquen pero no se descarguen las actualizaciones
autom áticam ente
TEMA 3 – Id e as clave 25
Se guridad e n Sis te m as Ope rativo s
B a ck U p s co n Tim e Ma ch in e
Tim e Machine m antiene al día una copia de todos los archivos personales que tienes en
tu ordenador. La copia de toda tu inform ación se m antiene sin cifrar por lo que se
aconseja tenerla en un lugar donde nadie pueda acceder a ella. Una solución es crear una
im agen de disco cifrada, m ontarla y determ inar en ella nuestras copias de seguridad.
TEMA 3 – Id e as clave 26
Se guridad e n Sis te m as Ope rativo s
Llave ro s
Para accede a la utilidad de llaveros hay que ir a Utilidades > Acce s o a Lla ve ro s .
TEMA 3 – Id e as clave 27
Se guridad e n Sis te m as Ope rativo s
Esta aplicación contiene claves cifradas, certificados y otra serie de valore privados
llam ados «N o tas Se gu ras » . Se pueden crear m últiples llaveros que aparecerán en la
lista de Llave ro s . Cada llavero contiene una colección de usuarios y contraseñas, y las
protege con una única clave. Usado la utilidad de Llave ro s , solam ente las aplicaciones
expresam ente autorizadas pueden tener acceso a estos valores.
TEMA 3 – Id e as clave 28
Se guridad e n Sis te m as Ope rativo s
Llave ro s perm ite que cuando navegam os por Internet (en una página web específica) o
cuando usem os una aplicación asociada, esta aplicación de Llaveros se encargará de
proveer el usuario y clave de la otra aplicación o la página web.
Por ejem plo, si vam os a Gm ail e introducim os nuestro usuario y contraseña, el navegador
nos preguntará si querem os que este usuario con esta clave asociada se guarde. Al
guardarse, esta clave irá a Llave ro s .
TEMA 3 – Id e as clave 29
Se guridad e n Sis te m as Ope rativo s
Esta aplicación perm ite que cada página o aplicación utilizada, tenga una clave distinta
o incluso aleatoria. De esta m anera una aplicación m aliciosa no podría robarte esta
m ism a clave para m eterse en tu cuenta de correo, pues en m uchos casos repetim os las
m ism as claves en diferentes servicios en los que estam os dados de alta. Llave ro s
gu ard a to d o s lo s d ato s cifra d o s .
Por defecto, al crear un nuevo usuario, se crea el llavero «In icio d e s e s ió n » para este
usuario. El «In icio d e s e s ió n » se m ostrará desbloqueado. Para securizar el uso de
Llave ro s , deberem os tener el «In icio d e s e s ió n » y otros llaveros asociados a este
usuario, bloqueados al iniciar sesión y al despertar al ordenador de la opción de reposo.
Para esto deberem os de bloquear los llaveros para que su clave de desbloqueo sea
diferente a la clave con la que el usuario com ienza su sesión. De esta m anera no se
desbloquearán.
Para cam biar la con traseñ a de un o de los llaveros ve a Utilidades > Acce s o a
Lla ve ro s , irem os al llavero que querem os m odificar su contraseñ a y en el m en ú irem os
a Edición > Ca m b ia r co n tra s e ñ a d e l lla ve ro . Tam bién ten drem os que cam biar los
ajustes del llavero en Edición > Ca m b ia r a ju s te s d e l lla ve ro . Seleccion arem os
«Bloquear tras seleccion ar en reposo» y deseleccionarem os «Sin cron izar con
MobileMe».
La u tilid a d d e d is co s
Ve a Utilidades > U n id a d d e d is co s .
TEMA 3 – Id e as clave 30
Se guridad e n Sis te m as Ope rativo s
Podrem os cifrar datos en una im agen de disco para su posterior traslado o bien para
su m ontaje en nuestro sistem a de archivos:
Tam bién podem os realizar una im agen desde unos archivos ya existentes. Para esto
se realizaría un proceso parecido al anterior pero yendo a Archivo > Nueva > Im agen
de disco a partir de carpeta.
Otra opción interesante es la de poder elim inar para siem pre los archivos que han sido
borrados correctam ente. A m odo de apunte, explicar que cuando elim inam os los
archivos de la papelera haciendo clic con el botón derecho sobre esta y seleccionando
«Vaciar Papelera», solo estam os borrando las referencias que tiene el sistem a de
archivos hacia esos archivos.
Para elim inar correctam ente los archivos del disco im plica la elim inación de la referencia
a nuestros archivos en el disco y la sobreescritura de los archivos en el disco con un array
de ceros. Para hacer esto hay que pulsar la tecla com ando y hacer clic derecho sobre la
papelera de reciclaje y elegir «Vaciar Papelera de form a segura».
TEMA 3 – Id e as clave 31
Se guridad e n Sis te m as Ope rativo s
Cuando no realizam os esto o cuando terceras aplicaciones borran archivos, suele ser
una práctica segura elim inar para siem pre el espacio vacío del disco duro. Hay que
tener en cuenta que cuando se elim inan para siem pre archivos, estos no se podrán
recuperar jam ás, por lo cual podríam os perder datos. Se aconseja destruir los datos
cuando se sabe que estos son sensibles y realm ente no los vam os a querer recuperar
m ás adelante.
Para elim inar el espacio vacío del disco duro, dentro de la U tilid ad d e d is co s hay
que hacer clic derecho sobre la unidad que queram os y pulsar el botón «Borrar espacio
libre».
TEMA 3 – Id e as clave 32
Se guridad e n Sis te m as Ope rativo s
com o navegador GPS, radio, reproductor MP3, juegos, cliente de correo electrónico,
m ensajería instantánea, cám ara de fotos, etc. aparte de la propia función de telefonía.
Debido a esta popularidad, los Sm artphone están sufriendo cada vez m ás los ataques de
los «piratas inform áticos», que intentan burlar su seguridad para hacerse con el control
del dispositivo o robar d ato s co n fid e n ciale s contenidos dentro del term inal, com o
núm eros de cuenta bancaria, contraseñas, contactos, fotografías, etc.
Algunas últim as funcionalidades que están ya con nosotros, es el p ago e le ctró n ico
utilizando sim plem ente el teléfono m óvil. Esta tecnología utiliza el ch ip N FC (Near
Field Com m unication). Se trata de una tecnología de com unicación inalám brica, que
perm ite la posibilidad de transm itir datos entre dispositivos situados entre 5 y 10
m ilím etros de distancia perm itiendo realizar pagos sim plem ente acercando el teléfono
m óvil a un lector.
La tecnología de los d is p o s itivo s m ó vile s ha experim entado una gran m e jo ra, lo que
ha hecho que haya que tratar su protección com o si de un PC convencional m ás se tratará.
Tam bién ha aum entado exponencialm ente el núm ero de tipos de dispositivos,
introduciendo cada vez m ás funcionalidades, pasando de servir esencialm ente para
realizar llam adas y conservar contactos, a servir para navegar por Internet, descargar
m úsica, hacer fotografías y un largo etc.
An d ro id
IMPORTANTE: los ejem plos m ostrados de configuración en este docum ento son
orientativos y podrían variar según el fabricante del dispositivo o la versión del sistem a
operativo. Si se usa un em ulador es posible que ciertas opciones no se encuentren.
TEMA 3 – Id e as clave 33
Se guridad e n Sis te m as Ope rativo s
Los aspectos que necesitam os para securizar nuestro dispositivo m óvil engloban el
propio dispositivo, las com unicaciones de este dispositivo y el alm acenam iento de datos.
H ace un a referen cia a todas las version es actuales y sus diferen cias, com o pueden ser
los tam añ os de pan talla soportados, las estadísticas de su uso, etc.
Para realizar los objetivos de seguridad, Android im plem enta un kernel de Linux,
ejecuta las aplicaciones en San d bo x, realiza procesos interm edios en las
com unicaciones, requiere la firm a de las aplicaciones e im plem enta un sistem a de
granulado de definición de perm isos. Adem ás, Android se ejecuta dentro de un a
m áquina virtual llam ada Dalvik.
TEMA 3 – Id e as clave 34
Se guridad e n Sis te m as Ope rativo s
La actu alizació n d e An d ro id
TEMA 3 – Id e as clave 35
Se guridad e n Sis te m as Ope rativo s
Las actualizaciones del sistem a de Android pueden ser proporcionadas com o una
im agen parcial o una im agen com pleta. Si es una im agen parcial solam ente se
m odificarán los archivos necesarios y si es una im agen com pleta se sobrescribirán
todas las preferencias. Por otro lado, se recom ienda hacer una copia de seguridad del
sistem a antes de actualizarlo.
Para actualizar el sistem a operativo suele existir la opción en Aju s t e s > Ace r ca d e l
t e lé fo n o > Act u a liz a cio n e s d e l s is t e m a . Evidentem ente, esta opción depende
del fabricante.
TEMA 3 – Id e as clave 36
Se guridad e n Sis te m as Ope rativo s
TEMA 3 – Id e as clave 37
Se guridad e n Sis te m as Ope rativo s
La S a n d bo x
An d ro id desarrolla una San d bo x haciendo uso de los perm isos de usuario que
ofrece el k e r n e l de Lin u x. An d ro id asigna un id único de usuario (U ID ) a cada
aplicación y la ejecuta en un proceso aparte.
Por defecto las aplicaciones no pueden interactuar entre ellas y tienen un uso lim itado
del sistem a operativo. Sin los perm isos suficientes, la aplicación A no podrá conseguir
datos de los archivos de la aplicación B o usar la cám ara del sistem a operativo, por
ejem plo.
TEMA 3 – Id e as clave 38
Se guridad e n Sis te m as Ope rativo s
El cifrad o d e l d is p o s itivo
TEMA 3 – Id e as clave 39
Se guridad e n Sis te m as Ope rativo s
Por otro lado, hay que tener en cuenta que m uchas m e m o rias e xte rn as están
previam ente form ateadas en FAT o FAT3 2 y son sistem as de archivos que n o
e s table ce n p e rm is o s . Si la m em oria no tiene un sistem a de archivos con soporte
para perm isos, cualquier aplicación con perm isos de tarjeta podrá tener acceso a
todos los datos guardados en ella.
Con la m em oria cifrada, los datos que necesitan ser usados serán previam ente
descifrados. En el proceso inverso de grabar datos en la m em oria esos datos serán
previam ente cifrados. El cifrado y descifrado de los datos se hace de form a totalm ente
transparente para el usuario del dispositivo.
Median te el cifrado de la m em oria se evitan ataques de a cce s o fís ico a los datos
alm acen ados en dicha m em oria. Se recom ien da al m en os cifrar la m em oria in tern a
del dispositivo, pues en ella se alm acen an todas las con traseñ as.
TEMA 3 – Id e as clave 40
Se guridad e n Sis te m as Ope rativo s
Desde la versión 2.2 de An d ro id , los adm inistradores de dom inio, desde Go o gle
Ap p s , tienen la posibilidad de gestión sobre el dispositivo. Este servicio puede ser
usado desde la plataform a web de Go o gle Ap p s sin necesidad de otras
im plem entaciones para su gestión.
TEMA 3 – Id e as clave 41
Se guridad e n Sis te m as Ope rativo s
TEMA 3 – Id e as clave 42
Se guridad e n Sis te m as Ope rativo s
El código PIN de la tarjeta suele ser un código de 4 dígitos num éricos. Este PIN se
puede m odificar hasta poner 8 dígitos. Se recom ienda m odificar el núm ero de 4
dígitos que viene con la tarjeta a uno de 8 . Las cifras del nuevo PIN nunca deberán
ser iguales o consecutivas (por ejem plo: “22222222” o “12345678”).
Para cam biar el PIN de la tarjeta tendrem os que ir a Aju s t e s > Se g u r id a d >
Blo q u e o d e la t a r je t a SIM > Ca m b ia r PIN d e la t a r je t a . Una vez en la
pantalla, ir a la opción Cam biar PIN d e SIM.
TEMA 3 – Id e as clave 43
Se guridad e n Sis te m as Ope rativo s
Por otro lado, la tarjeta del teléfono se protege contra el acceso por fuerza bruta de
la clave PIN, lim itando los intentos a 3. Un a vez superado el lím ite de 3 intentos la
tarjeta se bloquea y para desbloquearla deberem os introducir el código PUK.
o Blo qu e o d e l d is p o s itivo
Com o hem os podido ver antes, si el dispositivo no tiene una tarjeta SIM no pedirá
autenticación para acceder a él, por ello el bloqueo de nuestro dispositivo m óvil
evita que extraños puedan usar el dispositivo.
TEMA 3 – Id e as clave 44
Se guridad e n Sis te m as Ope rativo s
Tras esta pan talla de desbloqueo, depen dien do de la con figuración del bloqueo
de la pan talla, se n os pedirá un PIN , un a co n tra s e ñ a , un p a tró n o bien nos
dejará en trar librem en te. La opción m ás segura es el uso de un a co n tra s e ñ a o
un p a tró n . Tras in troducir m al cin co veces un a con traseñ a, PIN o patrón , el
dispositivo se bloqueará por al m en os trein ta segun dos.
TEMA 3 – Id e as clave 45
Se guridad e n Sis te m as Ope rativo s
Para realizar un Patrón m ás seguro, se recom ienda realizar un patrón com plejo
utilizando de seis a nueve puntos. Tam bién, si es que nos m uestran la opción,
configurar para que no vibre y no se m uestre en patrón a la hora de introducirlo.
El uso de patrón está m uy extendido pero tiene un problem a, la m arca que se deja
en la pantalla al introducir el patrón a veces es bastante clara y un atacante podría
usarla para im itar el patrón y acceder al dispositivo.
TEMA 3 – Id e as clave 46
Se guridad e n Sis te m as Ope rativo s
recom ien da un a con traseñ a com pleja con n úm eros, letras y caracteres especiales.
La con traseñ a puede ten er de cuatro a dieciséis caracteres.
Este suele ser el m étodo m ás seguro, pues la can tidad de com bin acion es posibles
para la con traseñ a es m ayor que en los otros m étodos.
<application […]>
[…]
</application>
<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission
android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>
</manifest>
Tal y com o aparece en la siguiente im agen , los perm isos específicos declarados en
An d ro id Man ife s t.xm l, los acepta el usuario cuando va a instalar la aplicación.
TEMA 3 – Id e as clave 47
Se guridad e n Sis te m as Ope rativo s
AppOps es un a aplicación de An droid 4.3 y 4.4 y que perm ite gestion ar los
perm isos de las aplicacion es in dividualm en te:
https:/ / play.google.com / store/ apps/ details?id=fr.slvn .appops
TEMA 3 – Id e as clave 48
Se guridad e n Sis te m as Ope rativo s
Se pueden ver los perm isos que existen por defecto en la últim a versión de la AP I
de An d ro id :
https:/ / developer.an droid.com / referen ce/ an droid/ Manifest.perm ission .htm l
Por otro lado la aplicación puede declarar perm isos personalizados para el acceso a
sus recursos desde otras aplicaciones.
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
package="com.me.app.myapp" >
<permission android:name="com.universidad.my.new.PERMISSION "
android:label="@string/permlab_ejemploActivity"
android:description="@string/permdesc_ejemploActivity"
android:permissionGroup="android.permission-
group.MY_GROUP_PERMISSION"
android:protectionLevel="dangerous" />
[...]
</manifest>
com.universidad.my.new.PERMISSION
TEMA 3 – Id e as clave 49
Se guridad e n Sis te m as Ope rativo s
El rooteo de An droid
TEMA 3 – Id e as clave 50
Se guridad e n Sis te m as Ope rativo s
iOS
iOS es el sistem a operativo de Apple para dispositivos m óviles. Existe una gam a de estos
dispositivos com ercializados com o iPh o n e , iPad y iPo d . Todos ellos presentan una
pantalla táctil y el iOS. A m edida que han ido apareciendo las nuevas generaciones de
cada dispositivo, han ido aum entando y m ejorando el hardw are, los sensores y las
nuevas versiones del sistem a operativo. A diferencia de An d ro id , tanto el hardw are
com o el sistem a operativo de estos dispositivos m óviles son fabricados por una única
m arca, Ap p le . Esta peculiaridad hace que los drivers estén perfectam ente desarrollados
para que funcionen con un extra de seguridad.
El prim er dispositivo que nació con este sistem a operativo fue en 2 0 0 7, el iPh o n e . En
el m ism o año salió el prim er iPo d . Para que el prim er iPad apareciera tuvieron que
pasar 3 años m ás.
La últim a versión del iOS es la 8 y está presente en los m odelos iPh o n e y iPad . En este
docum ento describirem os principalm ente las características hasta la versión iOS 7.
La securización de iOS , im plica cuatro aspectos gen erales: datos que se alm acen an ,
datos que se en vían , seguridad en las aplicacion es y seguridad en el propio
dispositivo.
En la ejecución de una aplicación en iOS se distinguen cuatro capas. Cada una de ellas
engloba a la anterior. Estas interfaces ofrecen la capacidad de generar aplicaciones
que funcionan en diferentes dispositivos. La capa m ás alta (Co co a To u ch ) ofrece un
nivel m ás alto de abstracción y la capa m ás baja (Co re OS) ofrece instrucciones m ás
elem entales. Cada una de las capas engloba una serie de fr a m e w o r k s con los que se
accede a los diferentes recursos de la plataform a.
TEMA 3 – Id e as clave 51
Se guridad e n Sis te m as Ope rativo s
A nivel de ejecución de las aplicaciones tenem os una Sandbox que evita, m ediante
perfiles, que una aplicación pueda acceder a los recursos de otra.
La actualización de iOS
Desde la versión 5.0 de IOS se perm ite la actualización del sistem a operativo desde el
propio sistem a operativo. Todas las versiones necesitaban actualizarse conectándose
al ordenador y usar el iTu n e s .
Para realizar la actualización del sistem a operativo tendrem os que ir al m enú Aju s t e s
> Ge n e r a l > Act u a liz a ció n d e s o ft w a r e . En el caso de que exista una
actualización del sistem a, nos pedirá confirm ación para poder actualizarlo. El
dispositivo deberá tener acceso a internet para poder realizar dicha actualización.
TEMA 3 – Id e as clave 52
Se guridad e n Sis te m as Ope rativo s
Proceso de arranque
Al arrancar iOS ejecuta el Bo o tROM, una m em oria de solo lectura que contiene un
certificado raíz, que es el que se usa para verificar la firm a del Lo w Le ve l
Bo o tlo ad e r (LLB). Seguidam ente el LLB verifica y le pasa la ejecución al iBo o t, el
cual term inará ejecutando el k e r n e l.
Cada uno de los pasos de este proceso de arranque, verifica al siguiente y si alguno de
los pasos fallara en su verificación, el arranque sería interrum pido.
TEMA 3 – Id e as clave 53
Se guridad e n Sis te m as Ope rativo s
La San dbox
La San d bo x establece perm isos granulados de cada aplicación a nivel del sistem a. A
diferencia de Android, estos perm isos no tienen que estar aceptados para que la
aplicación esté instalada sino que pueden ser activados y desactivados en cualquier
m om ento. De hecho, no existe el concepto “perm isos”, sino que se les llam a “recursos
del sistem a”. Para m odificar el acceso a estos recursos del sistem a puedes ir a Aju s t e s
> Pr iv a cid a d .
TEMA 3 – Id e as clave 54
Se guridad e n Sis te m as Ope rativo s
Secure Enclave
Contiene m em oria cifrada y un generador de núm eros aleatorios a nivel de hardw are,
que en los iOS se encarga de la generación de claves criptográficas. Adem ás la
com unicación con el procesador se hace de m anera aislada.
Este procesador tam bién es responsable de procesar los datos biom étricos de Touch
ID y verificar si la huella táctil introducida pertenece a la huella configurada para
desbloquear el dispositivo.
TEMA 3 – Id e as clave 55
Se guridad e n Sis te m as Ope rativo s
Desde la versión 3GS de iPhone, para todas las versiones de iPad y desde la 3.ª
generación de iPo d To u ch , los dispositivos con iOS m antienen cifrados todos los
datos de dicho dispositivo. Esta característica no puede ser deshabilitada.
El cifrado de la m em oria usa AES 2 5 6 bit junto con SH A-1 m ediante un chip
criptográfico. El sistem a usa el U ID asignado en fábrica y que protegido m ediante
hardw are para no ser descubierto. Para ser m ás difícil el descifrado por fuerza bruta
se recom ienda utilizar el D a t a Pr o t e ct io n , que añadirá un extra de seguridad para
datos sensibles.
TEMA 3 – Id e as clave 56
Se guridad e n Sis te m as Ope rativo s
se guardará en los m etadatos del archivo cifrado. Cada vez que el archivo quiere ser
utilizado, los m etadatos del archivo serán descifrados con la clave del sistem a,
recuperando la clase con la clave y el nivel de protección. Tras extraer la clave, AES
descifra el archivo.
Hay que tener en cuenta que en el caso de tener las claves custodiadas en el ordenador
con iTunes, con el que se ha sincronizado el dispositivo m óvil, tam bién sería posible
descifrar todos los contenidos alm acenados en dicho dispositivo.
A lo largo del tiem po se han ido descubriendo diferentes vulnerabilidades por las
cuales se ha conseguido saltarse las diferentes protecciones ofrecidas por la
plataform a. Especialm ente todas las relacionadas con un acceso físico al m óvil. Se
recom ienda principalm ente no conectar el teléfono a ordenadores de terceros.
Por otra parte, se sabe que Apple m antiene en secreto un procedim iento para poder
acceder por com pleto a todos los datos contenidos en sus dispositivos, cifrados o no.
Dicho procedim iento se aplica m ediante una orden judicial y Apple no ha concretado
detalles de cóm o se produce.
Finalm ente, en el borrado de datos, estos m ism os no se borran com pletam ente, sino
que son sus claves las que se quedan com pletam ente borradas, siendo indescifrables.
Para el borrado de estas claves se usan capacidades de acceso a m em oria a m uy bajo
nivel llam adas Effa ce a b le St o r a g e .
TEMA 3 – Id e as clave 57
Se guridad e n Sis te m as Ope rativo s
La prim era vez que se instalan los perfiles de configuración en un dispositivo iOS, ha
de ser usando la Ap p le Co n figu rato r del dispositivo, con el USB conectado al
ordenador o a través del Over the-Air Enrollm ent.
El resto de las veces, los perfiles pueden tam bién ser distribuidos adjun tos en em ails,
desde un servidor web o por solucion es de gestión em presariales (MD M).
TEMA 3 – Id e as clave 58
Se guridad e n Sis te m as Ope rativo s
La con figuración de los perfiles con tien e configuración sobre los siguien tes ajustes:
Por otro lado el protocolo Mo bile D e vice Man agm e n t (MD M) perm ite a negocios
securizar dispositivos iOS a nivel de em presa, a través de soluciones em presariales
com o Micro s o ft Exch an ge Active Syn c.
TEMA 3 – Id e as clave 59
Se guridad e n Sis te m as Ope rativo s
A diferen cia de An droid, iOS deja acceder al dispositivo m óvil sin haber
in troducido el código PIN de la tarjeta. Pese a que con An d ro id n o n os dejaba
en trar sin haber in troducido el código PIN , tam poco era un a m edida m uy difícil
saltarse, pudien do in sertar un a tarjeta de teléfon os de la que sí pudiésem os saber
su código PIN .
TEMA 3 – Id e as clave 60
Se guridad e n Sis te m as Ope rativo s
Es siem pre aconsejable añadir m edidas de bloqueo del dispositivo m óvil. iOS nos
ofrece el Có d igo d e a cce s o y el To u ch ID .
Tam bién es aconsejable el cam bio del PIN con las m ism as recom endaciones que
en An d ro id . Para cam biar el PIN de la tarjeta tendrem os que ir a Aju s t e s >
Te lé fo n o > PIN d e la SIM .
TEMA 3 – Id e as clave 61
Se guridad e n Sis te m as Ope rativo s
o El blo qu e o d e l d is po s itivo
Al igual que Android, iOS ofrece una pantalla de bloqueo general que sim plem ente
protege al dispositivo de un acceso accidental.
Blo qu e o co n Patró n : los m odelos de iOS n o tien en el bloqueo con patrón com o
opción den tro de la plataform a. Existen apps que un a vez hecho el J a ilB re a k de
la plataform a, pueden añ adir esta fun ción .
TEMA 3 – Id e as clave 62
Se guridad e n Sis te m as Ope rativo s
Con Cyd ia podem os ten er un patrón tal y com o sucede en los dispositivos
An d ro id . Más inform ación en la siguien te dirección web:
http:/ / www.cydiaios7.com /
TEMA 3 – Id e as clave 63
Se guridad e n Sis te m as Ope rativo s
Hay que tener en cuenta, que la inform ación de la huella o huellas con las que se
configuran el dispositivo nunca abandona la m em oria del Se cu re En clave y
nunca puede ser utilizada para redibujar la huella original.
TEMA 3 – Id e as clave 64
Se guridad e n Sis te m as Ope rativo s
Una vez arrancado el dispositivo, iOS controla qué aplicación se puede ejecutar. Para
que una aplicación pueda instalarse desde el Ap p Sto re en el dispositivo iOS, ha de
estar previam ente firm ad a por un ce rtificad o de Ap p le . Todas las aplicaciones que
vienen con el sistem a, com o puede ser el navegador, tam bién están firm adas con un
certificado de Ap p le .
Para que un desarrollador de iOS pueda firm ar una aplicación con un certificado de
Ap p le , ha de estar previam ente registrado en el iOS D e ve lo p e r Pro gram . Ap p le
verifica la identidad con la que se ha registrado y em ite el certificado con el que
posteriorm ente se firm ará la aplicación. Una vez subida al App Sto re , Ap p le
tam bién prueba que la aplicación funciona com o se ha descrito.
A nivel em presarial, iOS tam bién perm ite la instalación de aplicaciones sin publicarse
en el Ap p Sto re . Estas aplicaciones solo se podrán utilizar en los dispositivos de
em presa seleccionados.
A nivel de datos que guarda la aplicación, iOS SD K ofrece una API para poder
asignar una clase de D ata Pro te ctio n a los datos. Tam bién se pueden usar las APIs
que cifran los datos sin tener el D ata Pro te ctio n activo. En el apartado anterior “El
cifrad o d e l d is p o s itivo , D ata Pro te ctio n ” se habla en m ás detalle de este tem a.
o J a ilb re a k
Jailbre ak es el proceso por el cual elim inam os las restricciones que Apple tiene
asignadas a nuestro dispositivo. Esto engloba todas las m edidas explicadas en el
docum ento. Por lo cual, perm ite la instalación de cualquier hardw are o softw are
TEMA 3 – Id e as clave 65
Se guridad e n Sis te m as Ope rativo s
sin firm ar así com o m odificar aspectos del sistem a que no nos era posible
m odificar. El sím il en An d ro id sería el rooteo, explicado anteriorm ente.
Este proceso requiere un riesgo, que es que todas las aplicaciones funcionan com o
usuario root. Esto deja abierta la posibilidad de que aplicaciones de código
m alicioso puedan instalarse en el dispositivo. El lado bueno es que podrem os
cam biar nuestra interfaz de usuario, instalar aplicaciones no perm itidas por Apple,
com o por ejem plo el acceso al m óvil por patrón (al igual que en An d ro id ).
No solo juega el papel de adm inistrar los sistem as, sino para aum entar la seguridad, ya
que ante un problem a ocasionado en el ordenador no pondrá tener acceso a todo el
sistem a.
TEMA 3 – Id e as clave 66
Se guridad e n Sis te m as Ope rativo s
La virtualización se puede hacer desde cualquier sistem a operativo siem pre y cuando sea
com patible con el program a que usem os.
TEMA 3 – Id e as clave 67
Se guridad e n Sis te m as Ope rativo s
tenga que interceptar las instrucciones privilegiadas que realiza el núcleo del sistem a
operativo invitado.
6. Máqu in a virtu al o virtu alizació n d e s e rvid o re s : depende de la función que
deba hacer cada servidor podem os tener varias instancias de servidores ejecutándose
sobre el m ism o hardw are, aunque cada m áquina tendrá com ponentes virtuales.
7. H yp e rvis o r d e alm ace n am ie n to : es un pack de gestión centralizada, se utiliza
para m ejorar el valor com binado de los sistem as de disco de alm acenam iento m últiple
incluyendo los m odelos diferentes e in com patibles com pletando sus capacidades
individuales con el aprovisionam iento extendido.
Ventajas:
Desventajas:
TEMA 3 – Id e as clave 68
Se guridad e n Sis te m as Ope rativo s
1. Xe n : es una herram ienta de virtualización que se ejecuta por debajo del sistem a
operativo y actúa com o hypervisor del m ism o. Utiliza una técnica denom inada
paravirtualización para alcanzar un m ayor rendim iento, a través de esta técnica se
puede alcanzar un alto rendim iento de arquitecturas. A través de ella se pretende
abstraer la m ayor cantidad de aplicaciones posibles y proteger las aplicaciones
poniéndolas en m áquinas virtuales diferentes.
TEMA 3 – Id e as clave 69
Se guridad e n Sis te m as Ope rativo s
Tabla co m p arativa
Paravirtualización ✓ ✓ ✖
Con tenedores
✖ ✖ ✓
(S. Operativo virtual)
i68 6, x8 6-64,
i68 6, x8 6-64, IA64, i68 6, x8 6-64, IA64,
Arquitecturas IA64, PPC,
PPC PPC, S390
SPARC
Paravirtualización , Paravirtualización ,
m uy rápida y m uy rápida y
Rendim iento Nativo
virtualización virtualización
com pleta m edia. com pleta m edia.
SMP ✓ ✓ Nota 1.
CPU ✓ ✓ Nota 2.
Virtualización
Virtualización com pleta y
Migración en
Observacion es com pleta, n ecesita: Paravirtualización ,
vivo
VT / AMD-V n ecesita: VT /
AMD-V, upstream
La em ulación generalm ente es la m ism a, sea cualquiera que sea el kernel anfitrión de
form a nativa, por ejem plo es capaz una m áquina de 64bits con x86_ 64 kernel de ejecutar
32 bits de binarios i38 6, o si el Linux-abi de m ódulos cargados puede ser capaz de
TEMA 3 – Id e as clave 70
Se guridad e n Sis te m as Ope rativo s
ejecutar binarios de Unix SCO, aunque no tienen nada que ver con el contenedor del
sistem a.
Nota 2. OpenVZ puede cam biar la m em oria de la CPU y de la cuota durante el tiem po de
ejecución, no existe una verdadera conexión en caliente, ya que no hay ningún invitado
en los núcleos.
Algunas de las diferencias m ás im portantes entre: KVM, OpenVZ y Xen son las
siguientes:
Xe n es un hypervisor ligero, el cual optim iza los recursos en las tareas que m ás lo
necesiten. Otra ventaja es que no se puede sobrescribir por otros hosts, no com parte
m em oria y da soporte a HVM (Virtualización Com pleta) y PV (Paravirtualización) en
el Hypervisor.
TEMA 3 – Id e as clave 71
Se guridad e n Sis te m as Ope rativo s
configuración m ás sim ple com o el de las otras soluciones analizadas, quizás no habría
tanta disponibilidad de m étodos de configuraciones, es por ello que KVM aspira a
tener una buena perspectiva de futuro y a com petir directam ente con Xen.
En definitiva según las necesidades que se precisen en el entorno de trabajo, se debe
de llevar a cabo un estudio m inucioso de las soluciones de virtualización disponibles
en el m ercado así com o del rendim iento que estas ofrezcan.
TEMA 3 – Id e as clave 72
Se guridad e n Sis te m as Ope rativo s
deberían ten er perm itido poder: en cen der, m odificar y cerrar ningún servidor
virtual de n uestro CPD. Las con traseñ as son otra fun ción crítica de la seguridad,
perm iten m on itorizar, iden tificar y con trastar todas las actividades que tien en lugar
den tro del am bien te virtualizado.
5. P ro te cció n d e VMS : las m áquinas virtuales in activas pueden ser in iciadas con
rapidez en un en torn o virtual. Sino es an alizada y protegida previam en te an tes de
ser puesta en lín ea, puede expon er a todo el en torn o virtual fren te a am en azas de
seguridad, puesto que en esa m ism a m áquin a estam os alojan do diversas VMS.
6. Migra ció n : un a buen a política de preven ción sería m igrar de form a din ám ica jun to
a las VMS en tre m áquin as an fitrion as, físicas o en la n ube. De hecho, m uchas
solucion es de virtualización (Vm ware), n os perm iten llevar a cabo clon acion es de
VMS y restauración de Sn apshots m ien tras los propios usuarios están trabajan do,
sien do com pletam en te tran sparen te para ellos y asegurán don os un respaldo en caso
de in ciden te.
TEMA 3 – Id e as clave 73
Se guridad e n Sis te m as Ope rativo s
TEMA 3 – Id e as clave 74
Se guridad e n Sis te m as Ope rativo s
Lo + r ecom en d a d o
Lecciones m agistrales
S e gu rid a d e n iOS
En esta lección m agistral se tratarán m ás a fon do los tem as de seguridad relacion ados
con el popular sistem a operativo de Apple para sus teléfon os m óviles, los iPhon e.
No dejes de leer…
Accede al artículo a través del aula virtual o desde la siguiente dirección web:
https:/ / www.incibe.es/ CERT/ guias_ estudios/ Estudios/ Estudio_ m oviles_ 1C20 12
TEMA 3 – Lo + re co m e n d ad o 75
Se guridad e n Sis te m as Ope rativo s
En la versión 4.4 de Android, apodada Kitkat, se introduce de m anera experim ental art.
Sus m ayores m ejoras vienen a ser una com pilación previa al uso de la aplicación (AOT)
y una m ejora del colector de basura.
Accede a la inform ación a través del aula virtual o desde la siguiente dirección web:
https:/ / source.android.com / devices/ tech/ dalvik/ art.htm l
TEMA 3 – Lo + re co m e n d ad o 76
Se guridad e n Sis te m as Ope rativo s
+ I n for m a ción
A fondo
P a cka ge filte r
Manual original del com ando pf (Package Filter) que form a parte de las distribuciones
OS X 10 .7 y posteriores y que sustituyó al IPFW 2 .
Accede al m anual a través del aula virtual o desde la siguiente dirección web:
http:/ / www.openbsd.org/ faq/ pf/ index.htm l
La vu ln e ra b ilid a d d e l To u ch ID
Al día siguiente de la com ercialización del iPh o n e 5S, un grupo denom inado CCC
(Ch ao s Co m p u te r Clu b) desbloquearon probó la vulnerabilidad del To u ch ID .
Mediante una huella dejada en el dispositivo m óvil lograron desbloquearlo.
Accede a los reportajes a través del aula virtual o desde las siguientes direcciones web:
http:/ / ccc.de/ en/ updates/ 20 13/ ccc-breaks-apple-touchid
https:/ / vim eo.com / 75324765
Cyn d ia
Accede a la aplicación a través del aula virtual o desde la siguiente dirección web:
http:/ / cydia.saurik.com /
TEMA 3 – + In fo rm ació n 77
Se guridad e n Sis te m as Ope rativo s
Ap p le Co n figu ra to r
Accede a la aplicación a través del aula virtual o desde la siguiente dirección web:
https:/ / www.apple.com / uk/ support/ business-education/ apple-configurator/
An d ro id -x8 6 P ro je ct
Accede al proyecto a través del aula virtual o desde la siguiente dirección web:
http:/ / www.android-x86.org/
Am a zo n Ap p s to re fo r An d ro id
Accede a la descarga y al tutorial a través del aula virtual o desde las siguientes
direcciones web:
http:/ / www.am azon.com / gp/ m as/ get-appstore/ android/ ref=m as_ rw_ ldg
https:/ / www.am azon.es/ gp/ feature.htm l?ie=UTF8&docId=10 0 0 6448 93
TEMA 3 – + In fo rm ació n 78
Se guridad e n Sis te m as Ope rativo s
Webgrafía
B u s ca r m i iP h o n e , iP a d , iP o d to u ch o Ma c
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https:/ / www.apple.com / es/ support/ icloud/ find-m y-device/
Co m m o n D a t a S e c u r it y A r c h it e c t u r e ( CD S A )
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.opengroup.org/ security/ l2-cdsa.htm
U N IX B S D
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.bsd.org/
TEMA 3 – + In fo rm ació n 79
Se guridad e n Sis te m as Ope rativo s
Fre e BS D
Página web del sistem a operativo FreeBSD que derivó del UNIX BSD.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https:/ / www.freebsd.org/
Ma ch
La página del Mach Project desde el cual se han derivado otros conocidos kernels.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.cs.cm u.edu/ afs/ cs/ project/ m ach/ public/ www/ m ach.htm l
Ma c OS X
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.apple.com / es/ m acosx/
TEMA 3 – + In fo rm ació n 80
Se guridad e n Sis te m as Ope rativo s
Ap p S to re
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.apple.com / es/ osx/ apps/ app-store/
Ap p le Op e n S o u rce
Sección en la web de Apple don de publican los proyectos de código abierto que in cluyen
en su plataform a.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https:/ / www.apple.com / opensource/
An d ro id
Págin a web del popular sistem a operativo para m óviles Android, en el que podem os
con ocer inform ación acerca de las version es de An droid.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.android.com
TEMA 3 – + In fo rm ació n 81
Se guridad e n Sis te m as Ope rativo s
iOS
Página oficial de iOS Españ a donde en con trarem os las novedades de este sistem a
operativo.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https:/ / www.apple.com / es/ ios/
P ro ve e d o re s d e MD M ( Mo b ile D e vice Ma n a gm e n t)
Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.en terpriseios.com / wiki/ Com parison_ MDM_ Providers
TEMA 3 – + In fo rm ació n 82
Se guridad e n Sis te m as Ope rativo s
Test
1. En Mac OS X, respecto a la herram ienta FileVault, indica qué afirm ación es correcta.
A. Es un firew all que viene por defecto en el sistem a. Nos perm ite analizar tráfico
TCP y UDP.
B. No es com patible con Apple Talk.
C. Nos perm ite cifrar las carpetas de usuario o el disco duro com pleto.
D. La utilizan otras aplicaciones com o llavero para obtener las distintas claves de
servicios o sitios web.
TEMA 3 – Te s t 83
Se guridad e n Sis te m as Ope rativo s
8 . A la hora de securizar nuestros sistem as virtualizados, indica qué hace falta tener en
cuenta:
A. La docum entación.
B. Controlar y autorizar usuarios.
C. Supervisar la integridad.
D. Todas las anteriores son correctas.
TEMA 3 – Te s t 84
Se guridad e n Sis te m as Ope rativo s
TEMA 3 – Te s t 85